Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einführung in AWS Security Hub CSPM
<a name="what-is-securityhub"></a>

AWS Security Hub Cloud Security Posture Management (AWS Security Hub CSPM) bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus AWS und hilft Ihnen dabei, Ihre AWS Umgebung anhand von Industriestandards und Best Practices zu bewerten.

AWS Security Hub CSPM sammelt Sicherheitsdaten für und unterstützte Produkte von Drittanbietern und hilft Ihnen dabei AWS-Konten AWS-Services, Ihre Sicherheitstrends zu analysieren und Sicherheitsprobleme mit der höchsten Priorität zu identifizieren.

Um Ihnen bei der Verwaltung des Sicherheitsstatus Ihres Unternehmens zu helfen, unterstützt Security Hub CSPM mehrere Sicherheitsstandards. Dazu gehören der vom Center for Internet Security (CIS) entwickelte AWS Standard AWS Foundational Security Best Practices (FSBP) und externe Compliance-Frameworks wie das Center for Internet Security (CIS), der Payment Card Industry Data Security Standard (PCI DSS) und das National Institute of Standards and Technology (NIST). Jeder Standard umfasst mehrere Sicherheitskontrollen, von denen jede eine bewährte Sicherheitsmethode darstellt. Security Hub CSPM führt Prüfungen anhand von Sicherheitskontrollen durch und generiert Kontrollergebnisse, anhand derer Sie Ihre Einhaltung anhand bewährter Sicherheitsverfahren beurteilen können.

Security Hub CSPM generiert nicht nur Kontrollergebnisse, sondern erhält auch Ergebnisse von anderen Produkten AWS-Services— wie Amazon GuardDuty, Amazon Inspector und Amazon Macie — und von unterstützten Produkten von Drittanbietern. Auf diese Weise haben Sie einen zentralen Überblick über eine Vielzahl von Sicherheitsproblemen. Sie können die Ergebnisse des Security Hub CSPM auch an andere AWS-Services und unterstützte Produkte von Drittanbietern senden.

Security Hub CSPM bietet Automatisierungsfunktionen, mit denen Sie Sicherheitsprobleme erkennen und beheben können. Beispielsweise können Sie Automatisierungsregeln verwenden, um wichtige Ergebnisse automatisch zu aktualisieren, wenn eine Sicherheitsüberprüfung fehlschlägt. Sie können die Integration mit Amazon auch nutzen EventBridge , um automatische Antworten auf bestimmte Ergebnisse auszulösen.

**Topics**
+ [

## Vorteile von Security Hub CSPM
](#securityhub-benefits)
+ [

## Zugreifen auf Security Hub CSPM
](#securityhub-get-started)
+ [

## Zugehörige Services
](#securityhub-related-services)
+ [

## Kostenlose Testversion von Security Hub CSPM und Preisgestaltung
](#securityhub-free-trial)
+ [

# Konzepte und Terminologie in Security Hub CSPM
](securityhub-concepts.md)
+ [

# Security Hub CSPM aktivieren
](securityhub-settingup.md)
+ [

# Verwaltung von Administrator- und Mitgliedskonten in Security Hub CSPM
](securityhub-accounts.md)
+ [

# Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM
](finding-aggregation.md)
+ [

# Sicherheitsstandards in Security Hub CSPM verstehen
](standards-view-manage.md)
+ [

# Grundlegendes zu den Sicherheitskontrollen in Security Hub CSPM
](controls-view-manage.md)
+ [

# Integrationen in Security Hub CSPM verstehen
](securityhub-findings-providers.md)
+ [

# Ergebnisse in Security Hub CSPM erstellen und aktualisieren
](securityhub-findings.md)
+ [

# Einblicke in Security Hub CSPM anzeigen
](securityhub-insights.md)
+ [

# Ergebnisse in Security Hub CSPM automatisch ändern und darauf reagieren
](automations.md)
+ [

# Arbeiten mit dem Dashboard in Security Hub CSPM
](dashboard.md)
+ [

# Regionale Grenzwerte für Security Hub CSPM
](securityhub-regions.md)
+ [

# Security Hub CSPM-Ressourcen erstellen mit CloudFormation
](creating-resources-with-cloudformation.md)
+ [

# Abonnieren von Security Hub CSPM-Ankündigungen mit Amazon SNS
](securityhub-announcements.md)
+ [

# Security Hub CSPM deaktivieren
](securityhub-disable.md)
+ [

# Sicherheit in AWS Security Hub CSPM
](security.md)
+ [

# Security Hub Hub-API-Aufrufe protokollieren mit CloudTrail
](securityhub-ct.md)

## Vorteile von Security Hub CSPM
<a name="securityhub-benefits"></a>

Im Folgenden sind einige der wichtigsten Methoden aufgeführt, mit denen Security Hub CSPM Sie bei der Überwachung Ihrer Compliance- und Sicherheitslage in Ihrer AWS gesamten Umgebung unterstützt.

**Reduzierter Aufwand zur Erfassung und Priorisierung von Ergebnissen**  
Security Hub CSPM reduziert den Aufwand für die Erfassung und Priorisierung von Sicherheitsergebnissen für alle Konten aus integrierten Produkten AWS-Services und AWS Partnerprodukten. Security Hub CSPM verarbeitet Suchdaten mit dem AWS Security Finding Format (ASFF), einem Standardsuchformat. Dadurch entfällt die Notwendigkeit, Ergebnisse aus unzähligen Quellen in verschiedenen Formaten zu verwalten. Security Hub CSPM korreliert die Ergebnisse auch anbieterübergreifend, um Ihnen zu helfen, die wichtigsten zu priorisieren.

**Automatische Sicherheitsprüfungen nach bewährten Methoden und Standards**  
Security Hub CSPM führt automatisch kontinuierliche Konfigurationen und Sicherheitsprüfungen auf Kontoebene durch, die auf AWS Best Practices und Industriestandards basieren. Security Hub CSPM verwendet die Ergebnisse dieser Prüfungen, um Sicherheitsbewertungen zu berechnen, und identifiziert bestimmte Konten und Ressourcen, die besondere Aufmerksamkeit erfordern.

**Konsolidierte Ansicht der Ergebnisse über Konten und Anbieter hinweg**  
Security Hub CSPM konsolidiert Ihre Sicherheitsergebnisse für Konten und Anbieterprodukte und zeigt die Ergebnisse auf der Security Hub CSPM-Konsole an. Sie können Ergebnisse auch über die Security Hub CSPM-API, AWS CLI, oder abrufen. SDKs Mit einem ganzheitlichen Überblick über Ihren aktuellen Sicherheitsstatus können Sie Trends erkennen, potenzielle Probleme identifizieren und die erforderlichen Abhilfemaßnahmen ergreifen.

**Fähigkeit, die Suche nach Updates und deren Behebung zu automatisieren**  
Sie können Automatisierungsregeln erstellen, mit denen Ergebnisse auf der Grundlage Ihrer definierten Kriterien geändert oder unterdrückt werden. Security Hub CSPM unterstützt auch eine Integration mit Amazon. EventBridge Um die Behebung bestimmter Ergebnisse zu automatisieren, können Sie benutzerdefinierte Aktionen definieren, die ergriffen werden, wenn ein Ergebnis generiert wird. Sie können beispielsweise benutzerdefinierte Aktionen konfigurieren, damit Ergebnisse an ein Ticketing-System oder ein automatisiertes Behebungssystem gesendet werden.

## Zugreifen auf Security Hub CSPM
<a name="securityhub-get-started"></a>

Security Hub CSPM ist in den meisten Fällen verfügbar. AWS-Regionen Eine Liste der Regionen, in denen Security Hub CSPM derzeit verfügbar ist, finden Sie unter [AWS Security Hub CSPM-Endpunkte](https://docs.aws.amazon.com/general/latest/gr/sechub.html) und Kontingente in der. *Allgemeine AWS-Referenz* *Informationen zur Verwaltung AWS-Regionen für Sie finden Sie im AWS-Konto Referenzhandbuch unter [Spezifizieren, welche AWS-Regionen Ihr Konto verwenden kann](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).AWS -Kontenverwaltung *

In jeder Region können Sie auf eine der folgenden Arten auf Security Hub CSPM zugreifen und es verwenden:

**Security Hub CSPM-Konsole**  
Das AWS-Managementkonsole ist eine browserbasierte Oberfläche, mit der Sie Ressourcen erstellen und verwalten können. AWS Als Teil dieser Konsole bietet die Security Hub CSPM-Konsole Zugriff auf Ihr Security Hub CSPM-Konto, Ihre Daten und Ressourcen. Sie können Security Hub CSPM-Aufgaben mithilfe der Security Hub CSPM-Konsole ausführen — Ergebnisse anzeigen, Automatisierungsregeln erstellen, eine Aggregationsregion erstellen und vieles mehr.

**Security Hub CSPM-API**  
Die Security Hub CSPM-API ermöglicht Ihnen programmatischen Zugriff auf Ihr Security Hub CSPM-Konto, Ihre Daten und Ressourcen. Mit der API können Sie HTTPS-Anfragen direkt an Security Hub CSPM senden. Informationen zur API finden Sie in der *[AWS Security Hub API-Referenz](https://docs.aws.amazon.com/securityhub/1.0/APIReference/)*.

**AWS CLI**  
Mit dem AWS CLI können Sie Befehle an der Befehlszeile Ihres Systems ausführen, um Security Hub CSPM-Aufgaben auszuführen. In einigen Fällen kann die Verwendung der Befehlszeile schneller und bequemer sein als die Verwendung der Konsole. Die Befehlszeile ist auch nützlich, wenn Sie Skripts erstellen möchten, die Aufgaben ausführen. Informationen zur Installation und Verwendung von finden Sie im [AWS Command Line Interface Benutzerhandbuch](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html). AWS CLI

**AWS SDKs**  
AWS SDKs stellt Bibliotheken und Beispielcode für verschiedene Programmiersprachen und Plattformen bereit, z. B. Java, Go, Python, C\$1\$1 und .NET. SDKs Sie bieten bequemen, programmgesteuerten Zugriff auf Security Hub CSPM und andere Apps AWS-Services in Ihrer bevorzugten Sprache. Sie erledigen auch Aufgaben wie das kryptografische Signieren von Anfragen, das Verwalten von Fehlern und das automatische Wiederholen von Anfragen. Informationen zur Installation und Verwendung von finden Sie unter [Tools AWS SDKs, auf denen Sie aufbauen können](https://aws.amazon.com/developertools/). AWS

**Wichtig**  
Security Hub CSPM erkennt und konsolidiert nur Ergebnisse, die nach der Aktivierung von Security Hub CSPM generiert wurden. Sicherheitsergebnisse, die vor der Aktivierung von Security Hub CSPM generiert wurden, werden nicht rückwirkend erkannt und konsolidiert.  
Security Hub CSPM empfängt und verarbeitet Ergebnisse nur in der Region, in der Sie Security Hub CSPM in Ihrem Konto aktiviert haben.  
Um die vollständige Einhaltung der Benchmark-Sicherheitsprüfungen der CIS AWS Foundations zu gewährleisten, müssen Sie Security Hub CSPM in allen unterstützten AWS Regionen aktivieren.

## Zugehörige Services
<a name="securityhub-related-services"></a>

Um Ihre AWS Umgebung weiter zu schützen, sollten Sie die Verwendung von Other AWS-Services in Kombination mit Security Hub CSPM in Betracht ziehen. Einige AWS-Services senden ihre Ergebnisse an Security Hub CSPM, und Security Hub CSPM normalisiert die Ergebnisse in ein Standardformat. Einige AWS-Services können auch Ergebnisse von Security Hub CSPM erhalten.

Eine Liste anderer Benutzer AWS-Services , die Security Hub CSPM-Ergebnisse senden oder empfangen, finden Sie unter. [AWS-Service Integrationen mit Security Hub CSPM](securityhub-internal-providers.md)

Security Hub CSPM verwendet dienstbezogene Regeln von, AWS Config um Sicherheitsüberprüfungen für die meisten Kontrollen durchzuführen. Kontrollen beziehen sich auf bestimmte AWS-Services Ressourcen. AWS Eine Liste der Security Hub CSPM-Steuerelemente finden Sie unter. [Kontrollreferenz für Security Hub CSPM](securityhub-controls-reference.md) Sie müssen Ressourcen AWS Config für Security Hub CSPM aktivieren AWS Config und aufzeichnen, um die meisten Kontrollergebnisse zu generieren. Weitere Informationen finden Sie unter [Überlegungen vor der Aktivierung und Konfiguration AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

## Kostenlose Testversion von Security Hub CSPM und Preisgestaltung
<a name="securityhub-free-trial"></a>

Wenn Sie Security Hub CSPM zum ersten Mal aktivieren, wird dieses Konto automatisch AWS-Konto für eine kostenlose 30-Tage-Testversion von Security Hub CSPM registriert.

Wenn Sie Security Hub CSPM während der kostenlosen Testversion verwenden, wird Ihnen die Nutzung anderer Dienste, mit denen Security Hub CSPM interagiert, wie z. B. Artikel, in Rechnung gestellt. AWS Config AWS Config Regeln, die nur durch die Security Hub CSPM-Sicherheitsstandards aktiviert werden, werden Ihnen nicht in Rechnung gestellt.

Die Nutzung von Security Hub CSPM wird Ihnen erst nach Ablauf Ihrer kostenlosen Testversion in Rechnung gestellt.

### Nutzungsdetails anzeigen
<a name="usage-details"></a>

Security Hub CSPM stellt Nutzungsinformationen bereit, einschließlich der Anzahl der von Ihrem Konto verarbeiteten Sicherheitsprüfungen und Ergebnisse. Die Nutzungsdetails beinhalten auch die verbleibende Zeit der kostenlosen Testversion. Diese Informationen können Ihnen helfen, Ihre Nutzung von Security Hub CSPM nach Ablauf der kostenlosen Testversion zu verstehen. Die Nutzungsinformationen sind auch nach Ablauf der kostenlosen Testversion verfügbar.

**Um Nutzungsinformationen anzuzeigen (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich unter Einstellungen die Option **Verwendung** aus.**

Die Nutzungsinformationen beziehen sich nur auf das aktuelle Konto und die aktuelle Region. In einer Aggregationsregion enthalten die Nutzungsinformationen keine verknüpften Regionen. Weitere Informationen zu verknüpften Regionen finden Sie unter[Arten von Daten, die aggregiert sind](finding-aggregation.md#finding-aggregation-overview).

Um die Kostendetails für Ihr Konto einzusehen, verwenden Sie die [AWS Abrechnungskonsole](https://console.aws.amazon.com/billing/).

### Preisdetails
<a name="pricing-details"></a>

Weitere Informationen darüber, wie Security Hub CSPM für aufgenommene Ergebnisse und Sicherheitsprüfungen Gebühren erhebt, finden Sie unter [Security Hub](https://aws.amazon.com/security-hub/pricing/) CSPM — Preise.

# Konzepte und Terminologie in Security Hub CSPM
<a name="securityhub-concepts"></a>

In AWS Security Hub CSPM bauen wir auf gemeinsamen AWS Konzepten und Terminologie auf und verwenden diese zusätzlichen Begriffe.

**Account**  
Ein Standardkonto von Amazon Web Services (AWS), das Ihre AWS Ressourcen enthält. Sie können sich AWS mit Ihrem Konto anmelden und Security Hub CSPM aktivieren.  
Ein Konto kann andere Konten zur Aktivierung von Security Hub CSPM einladen und mit diesem Konto in Security Hub CSPM verknüpft werden. Das Annehmen einer Mitgliedschaftseinladung ist optional. Wenn die Einladungen angenommen werden, wird das Konto zu einem Administratorkonto und die hinzugefügten Konten sind Mitgliedskonten. Administratorkonten können Ergebnisse in ihren Mitgliedskonten einsehen.  
Wenn Sie registriert sind AWS Organizations, weist Ihre Organisation ein Security Hub CSPM-Administratorkonto für die Organisation zu. Das Security Hub CSPM-Administratorkonto kann andere Organisationskonten als Mitgliedskonten aktivieren.  
Ein Konto kann nicht gleichzeitig Administratorkonto und Mitgliedskonto sein. Ein Konto kann nur ein Administratorkonto haben.  
Weitere Informationen finden Sie unter [Verwaltung von Administrator- und Mitgliedskonten in Security Hub CSPM](securityhub-accounts.md).

**Administratorkonto**  
Ein Konto in Security Hub CSPM, dem Zugriff gewährt wird, um Ergebnisse für verknüpfte Mitgliedskonten einzusehen.  
Ein Konto wird auf eine der folgenden Arten zu einem Administratorkonto:  
+ Das Konto lädt andere Konten ein, ihm in Security Hub CSPM zugeordnet zu werden. Wenn diese Konten die Einladung annehmen, werden sie zu Mitgliedskonten und das einladende Konto wird zu ihrem Administratorkonto.
+ Das Konto wird von einem Organisationsverwaltungskonto als Security Hub CSPM-Administratorkonto festgelegt. Das Security Hub CSPM-Administratorkonto kann jedes Unternehmenskonto als Mitgliedskonto aktivieren und auch andere Konten als Mitgliedskonten einladen.
Ein Konto kann nur ein Administratorkonto haben. Ein Konto kann nicht gleichzeitig ein Administratorkonto und ein Mitgliedskonto sein.

**Aggregationsregion**  
Wenn Sie eine Aggregationsregion festlegen, können Sie Sicherheitsergebnisse aus mehreren Bereichen AWS-Regionen in einem einzigen Fenster anzeigen.   
Die Aggregationsregion ist die Region, von der aus Sie Ergebnisse anzeigen und verwalten. Die Ergebnisse werden aus verknüpften Regionen zur Aggregationsregion aggregiert. Aktualisierungen der Ergebnisse werden in allen Regionen repliziert.  
In der Aggregationsregion enthalten die Seiten **Sicherheitsstandards**, **Einblicke** und **Ergebnisse** Daten aus allen verknüpften Regionen.  
Weitere Informationen finden Sie unter [Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM](finding-aggregation.md).

**Archiviertes Ergebnis**  
Ein Ergebnis, dessen Datensatzstatus (`RecordState`) lautet`ARCHIVED`. Die Archivierung eines Ergebnisses weist darauf hin, dass der Befundgeber der Ansicht ist, dass das Ergebnis nicht mehr relevant ist. Der Datensatzstatus unterscheidet sich vom Workflow-Status, der den Status der Untersuchung bis zu einem Ergebnis verfolgt.  
Finding-Provider können den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)Betrieb der Security Hub CSPM-API nutzen, um von ihnen erstellte Ergebnisse zu archivieren. Security Hub CSPM archiviert automatisch Kontrollergebnisse, die bestimmte Kriterien erfüllen. Weitere Informationen finden Sie unter [Generierung, Aktualisierung und Archivierung von Kontrollbefunden](controls-findings-create-update.md#securityhub-standards-results-updating).  
Auf der Security Hub CSPM-Konsole schließen die Standardfiltereinstellungen archivierte Ergebnisse aus Suchlisten und Tabellen aus. Sie können die Einstellungen aktualisieren, um archivierte Ergebnisse einzubeziehen. Wenn Sie Ergebnisse mithilfe der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)Security Hub CSPM-API abrufen, ruft der Vorgang sowohl archivierte als auch aktive Ergebnisse ab. Um archivierte Ergebnisse auszuschließen, können Sie die Ergebnisse filtern. Beispiel:  

```
"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
```

**AWS Security Finding Format (ASFF)**  
Ein standardisiertes Format für den Inhalt von Ergebnissen, die Security Hub CSPM aggregiert oder generiert. Mit dem AWS Security Finding Format können Sie Security Hub CSPM verwenden, um Ergebnisse anzuzeigen und zu analysieren, die von AWS Sicherheitsdiensten, Drittanbieterlösungen oder Security Hub CSPM selbst bei der Durchführung von Sicherheitsprüfungen generiert wurden. Weitere Informationen finden Sie unter [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md).

**Steuerung**  
Eine Schutz- oder Gegenmaßnahme, die für ein Informationssystem oder eine Organisation vorgeschrieben ist, um die Vertraulichkeit, Integrität und Verfügbarkeit seiner Informationen zu schützen und eine Reihe definierter Sicherheitsanforderungen zu erfüllen. Ein Sicherheitsstandard ist mit einer Sammlung von Kontrollen verknüpft.  
Der Begriff *Sicherheitskontrolle* bezieht sich auf Kontrollen, die standardübergreifend über eine einzige Kontroll-ID und einen einzigen Titel verfügen. Der Begriff *Standardkontrolle* bezieht sich auf Steuerelemente mit standardspezifischen Steuerelementen IDs und Titeln. Derzeit unterstützt Security Hub CSPM Standardkontrollen nur in den Regionen China und. AWS GovCloud (US) Regions Sicherheitskontrollen werden in allen anderen Regionen unterstützt.

**Benutzerdefinierte Aktion**  
Ein Security Hub CSPM-Mechanismus zum Senden ausgewählter Ergebnisse an. EventBridge Eine benutzerdefinierte Aktion wird in Security Hub CSPM erstellt. Sie wird dann mit einer EventBridge Regel verknüpft. Die Regel definiert eine bestimmte Aktion, die ausgeführt werden soll, wenn Funde empfangen werden, die der benutzerdefinierten Aktions-ID zugeordnet sind. Benutzerdefinierte Aktionen können beispielsweise verwendet werden, um einen bestimmten Fund oder einen kleinen Satz von Funden an einen Antwort- oder Korrektur-Workflow zu senden. Weitere Informationen finden Sie unter [Eine benutzerdefinierte Aktion erstellen](securityhub-cwe-configure.md).

**Delegiertes Administratorkonto (Organizations)**  
 AWS Organizations In kann das delegierte Administratorkonto für einen Dienst die Nutzung eines Dienstes für die Organisation verwalten.  
In Security Hub CSPM ist das Security Hub CSPM-Administratorkonto auch das delegierte Administratorkonto für Security Hub CSPM. Wenn das Organisationsverwaltungskonto zum ersten Mal ein Security Hub CSPM-Administratorkonto festlegt, ruft Security Hub CSPM Organizations auf, dieses Konto zum delegierten Administratorkonto zu machen.  
Das Organisationsverwaltungskonto muss dann das delegierte Administratorkonto als Security Hub CSPM-Administratorkonto in allen Regionen auswählen.

**Erkenntnis**  
Der beobachtbare Datensatz einer Sicherheitsprüfung oder sicherheitsrelevanten Erkennung. Security Hub CSPM generiert und aktualisiert Ergebnisse, nachdem die Sicherheitsprüfungen für Kontrollen abgeschlossen wurden. Diese Ergebnisse werden als *Kontrollergebnisse* bezeichnet. Die Ergebnisse können auch aus Integrationen mit anderen Produkten AWS-Services und Produkten von Drittanbietern stammen.  
Weitere Informationen finden Sie unter [Ergebnisse in Security Hub CSPM erstellen und aktualisieren](securityhub-findings.md).

**Regionsübergreifende Aggregation**  
Die Zusammenfassung von Ergebnissen, Erkenntnissen, Compliance-Status und Sicherheitsbewertungen aus verknüpften Regionen zu einer Aggregationsregion. Anschließend können Sie alle Ihre Daten aus der Aggregationsregion anzeigen und die Ergebnisse und Erkenntnisse aus der Aggregationsregion aktualisieren.  
Weitere Informationen finden Sie unter [Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM](finding-aggregation.md).

**Ermitteln der Aufnahme**  
Der Import von Ergebnissen aus anderen AWS Diensten und von Drittanbietern in Security Hub CSPM.  
Zu den festgestellten Ingestionsereignissen gehören sowohl neue Erkenntnisse als auch Aktualisierungen vorhandener Ergebnisse.

**Insight**  
Eine Sammlung zusammenhängender Funde, die durch eine Aggregationsanweisung und optionale Filter definiert wird. Anhand dieser Erkenntnisse wird ein Sicherheitsbereich identifiziert, der Aufmerksamkeit und Intervention erfordert. Security Hub CSPM bietet mehrere verwaltete (Standard-) Einblicke, die Sie nicht ändern können. Sie können auch benutzerdefinierte Security Hub CSPM-Einblicke erstellen, um Sicherheitsprobleme zu verfolgen, die für Ihre AWS Umgebung und Nutzung spezifisch sind. Weitere Informationen finden Sie unter [Einblicke in Security Hub CSPM anzeigen](securityhub-insights.md).

**Verknüpfte Region**  
Wenn Sie die regionsübergreifende Aggregation aktivieren, ist eine verknüpfte Region eine Region, die Ergebnisse, Erkenntnisse, den Status der Kontrollkonformität und Sicherheitsbewertungen in der Aggregationsregion zusammenfasst.  
In einer verknüpften Region enthalten die Seiten „**Ergebnisse**“ und „**Einblicke**“ nur Ergebnisse aus dieser Region.  
Weitere Informationen finden Sie unter [Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM](finding-aggregation.md).

**Mitgliedskonto**  
Ein Konto, das einem Administratorkonto die Erlaubnis erteilt hat, die Ergebnisse einzusehen und entsprechende Maßnahmen zu ergreifen.  
Ein Konto wird auf eine der folgenden Arten zu einem Mitgliedskonto:  
+ Das Konto akzeptiert eine Einladung von einem anderen Konto.
+ Für ein Organisationskonto aktiviert das Security Hub CSPM-Administratorkonto das Konto als Mitgliedskonto.

**Zugehörige Anforderungen**  
Eine Reihe von Branchen- oder regulatorischen Anforderungen, die einem Steuerelement zugeordnet sind.

**Regel**  
Eine Reihe von automatisierten Kriterien, die verwendet werden, um zu beurteilen, ob ein Steuerelement eingehalten wird. Wenn eine Regel ausgewertet wird, kann sie erfolgreich sein oder fehlschlagen. Wenn die Auswertung nicht feststellen kann, ob die Regel erfolgreich ist oder fehlschlägt, befindet sich die Regel in einem Warnzustand. Wenn die Regel nicht ausgewertet werden kann, befindet sie sich in einem nicht verfügbaren Zustand.

**Sicherheitsüberprüfung**  
Eine spezifische point-in-time Auswertung einer Regel anhand einer einzelnen Ressource, die zu einem Status`PASSED`, `FAILED``WARNING`, oder `NOT_AVAILABLE` führt. Das Ausführen einer Sicherheitsprüfung führt zu einem Ergebnis.

**Security Hub CSPM-Administratorkonto**  
Ein Organisationskonto, das die Security Hub CSPM-Mitgliedschaft für eine Organisation verwaltet.  
Das Organisationsverwaltungskonto bestimmt das Security Hub CSPM-Administratorkonto in jeder Region. Das Organisationsverwaltungskonto muss in allen Regionen dasselbe Security Hub CSPM-Administratorkonto wählen.  
Das Security Hub CSPM-Administratorkonto ist auch das delegierte Administratorkonto für Security Hub CSPM in Organizations.  
Das Security Hub CSPM-Administratorkonto kann jedes Unternehmenskonto als Mitgliedskonto aktivieren. Das Security Hub CSPM-Administratorkonto kann auch andere Konten als Mitgliedskonten einladen.

**Sicherheitsstandard**  
Eine veröffentlichte Erklärung zu einem Thema, in der die Eigenschaften (in der Regel messbar und in Form von Kontrollen) definiert sind, die gegeben sein oder erreicht werden müssen, um Compliance sicherzustellen. Sicherheitsstandards können auf regulatorischen Rahmenbedingungen, bewährten Methoden oder internen Unternehmensrichtlinien basieren. Ein Steuerelement kann mit einem oder mehreren unterstützten Standards in Security Hub CSPM verknüpft sein. Weitere Informationen zu den Sicherheitsstandards in Security Hub CSPM finden Sie unter. [Sicherheitsstandards in Security Hub CSPM verstehen](standards-view-manage.md)

**Schweregrad**  
Der Schweregrad, der einem Security Hub CSPM-Steuerelement zugewiesen wurde, zeigt die Wichtigkeit der Kontrolle an. **Der Schweregrad einer Kontrolle kann „**Kritisch**“, „**Hoch**“, „**Mittel**“, „**Niedrig**“ oder „Informativ“ sein.** Der den Kontrollbefunden zugewiesene Schweregrad entspricht dem Schweregrad der Kontrolle selbst. Informationen darüber, wie Security Hub CSPM einer Kontrolle den Schweregrad zuweist, finden Sie unter. [Schweregrade der Kontrollbefunde](controls-findings-create-update.md#control-findings-severity)

**Workflow-Status**  
Der Status einer Untersuchung zu einem Befund. Dies wird mithilfe des Attributs verfolgt. `Workflow.Status`  
Der Workflow-Status ist zunächst `NEW`. Wenn Sie den Ressourcenbesitzer benachrichtigt haben, Maßnahmen für das Ergebnis zu ergreifen, können Sie den Workflow-Status auf `NOTIFIED` festlegen. Wenn die Suche kein Problem darstellt und keine Aktion erfordert, legen Sie den Workflow-Status auf `SUPPRESSED` fest. Nachdem Sie eine Suche überprüft und korrigiert haben, legen Sie den Workflow-Status auf `RESOLVED` fest.  
Standardmäßig enthalten die meisten Suchlisten nur Ergebnisse mit dem Workflow-Status `NEW` oder `NOTIFIED`. Die Suche nach Listen für Steuerelemente umfasst auch `RESOLVED`-Ergebnisse.  
Für die Operation [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) können Sie einen Filter für den Workflow-Status einschließen.  

```
"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],
```
Die Security Hub CSPM-Konsole bietet eine Option, um den Workflow-Status für Ergebnisse festzulegen. Kunden (oder SIEM-, Ticketing-, Vorfallmanagement- oder SOAR-Tools, die im Auftrag eines Kunden Ergebnisse von Ergebnisanbietern aktualisieren) können mithilfe von [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) auch den Workflow-Status aktualisieren.

# Security Hub CSPM aktivieren
<a name="securityhub-settingup"></a>

Es gibt zwei Möglichkeiten, AWS Security Hub CSPM zu aktivieren: durch Integration mit AWS Organizations oder manuell.

Wir empfehlen dringend die Integration mit Organizations für Umgebungen mit mehreren Konten und mehreren Regionen. Wenn Sie ein eigenständiges Konto haben, müssen Sie Security Hub CSPM manuell einrichten.

## Überprüfung der erforderlichen Berechtigungen
<a name="securityhub-setup-permissions"></a>

Nachdem Sie sich für Amazon Web Services (AWS) angemeldet haben, müssen Sie Security Hub CSPM aktivieren, um dessen Funktionen und Funktionen nutzen zu können. Um Security Hub CSPM zu aktivieren, müssen Sie zunächst Berechtigungen einrichten, die Ihnen den Zugriff auf die Security Hub CSPM-Konsole und API-Operationen ermöglichen. Sie oder Ihr AWS Administrator können dies tun, indem Sie AWS Identity and Access Management (IAM) verwenden, um die AWS verwaltete Richtlinie, die aufgerufen wird`AWSSecurityHubFullAccess`, an Ihre IAM-Identität anzuhängen.

Um Security Hub CSPM über die Organizationsintegration zu aktivieren und zu verwalten, sollten Sie auch die angegebene AWS verwaltete Richtlinie anhängen. `AWSSecurityHubOrganizationsAccess`

Weitere Informationen finden Sie unter [AWS verwaltete Richtlinien für Security Hub](security-iam-awsmanpol.md).

## Aktivierung von Security Hub CSPM mit Unternehmensintegration
<a name="securityhub-orgs-setup-overview"></a>

Um Security Hub CSPM mit zu verwenden AWS Organizations, bestimmt das AWS Organizations Verwaltungskonto für die Organisation ein Konto als delegiertes Security Hub CSPM-Administratorkonto für die Organisation. Security Hub CSPM wird automatisch im delegierten Administratorkonto in der aktuellen Region aktiviert.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zur Benennung des delegierten Administrators.

------
#### [ Security Hub CSPM console ]

**So bestimmen Sie beim Onboarding den delegierten Security Hub CSPM-Administrator**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie **Gehe zu Security Hub CSPM**. Sie werden aufgefordert, sich beim Verwaltungskonto der Organizations anzumelden.

1. Geben Sie auf der Seite **Delegierten Administrator benennen** im Abschnitt **Delegiertes Administratorkonto** das delegierte Administratorkonto an. Wir empfehlen, denselben delegierten Administrator zu wählen, den Sie für andere AWS Sicherheits- und Compliance-Dienste eingerichtet haben.

1. Wählen Sie Als **delegierten Administrator festlegen** aus.

------
#### [ Security Hub CSPM API ]

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)API über das Verwaltungskonto der Organizations auf. Geben Sie die AWS-Konto ID des delegierten Security Hub-CSPM-Administratorkontos an.

------
#### [ AWS CLI ]

Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)Befehl über das Verwaltungskonto der Organizations. Geben Sie die AWS-Konto ID des delegierten Security Hub-CSPM-Administratorkontos an.

**Beispielbefehl:**

```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```

------

Weitere Informationen zur Integration mit Organizations finden Sie unter[Integration von Security Hub CSPM mit AWS Organizations](designate-orgs-admin-account.md).

### Zentrale Konfiguration
<a name="securityhub-central-config"></a>

Wenn Sie Security Hub CSPM und Organizations integrieren, haben Sie die Möglichkeit, eine Funktion namens [zentrale Konfiguration](central-configuration-intro.md) zu verwenden, um Security Hub CSPM für Ihr Unternehmen einzurichten und zu verwalten. Wir empfehlen dringend, die zentrale Konfiguration zu verwenden, da der Administrator so den Sicherheitsschutz für das Unternehmen anpassen kann. Gegebenenfalls kann der delegierte Administrator einem Mitgliedskonto gestatten, seine eigenen Sicherheitseinstellungen zu konfigurieren.

Die zentrale Konfiguration ermöglicht es dem delegierten Administrator, Security Hub CSPM kontenübergreifend, OUs und zu konfigurieren. AWS-Regionen Der delegierte Administrator konfiguriert Security Hub CSPM, indem er Konfigurationsrichtlinien erstellt. In einer Konfigurationsrichtlinie können Sie die folgenden Einstellungen angeben:
+ Ob Security Hub CSPM aktiviert oder deaktiviert ist
+ Welche Sicherheitsstandards sind aktiviert und deaktiviert
+ Welche Sicherheitskontrollen sind aktiviert und deaktiviert
+ Ob Parameter für ausgewählte Steuerelemente angepasst werden sollen

Als delegierter Administrator können Sie eine einzige Konfigurationsrichtlinie für Ihre gesamte Organisation oder verschiedene Konfigurationsrichtlinien für Ihre verschiedenen Konten und OUs erstellen. Beispielsweise können Testkonten und Produktionskonten unterschiedliche Konfigurationsrichtlinien verwenden.

Mitgliedskonten OUs , die eine Konfigurationsrichtlinie verwenden, werden *zentral verwaltet* und können nur vom delegierten Administrator konfiguriert werden. Der delegierte Administrator kann bestimmte Mitgliedskonten OUs als *selbstverwaltete* Konten festlegen, sodass das Mitglied seine eigenen Einstellungen auf dieser Grundlage konfigurieren kann. Region-by-Region

Wenn Sie die zentrale Konfiguration nicht verwenden, müssen Sie Security Hub CSPM für jedes Konto und jede Region weitgehend separat konfigurieren. Dies wird als [lokale](local-configuration.md) Konfiguration bezeichnet. Bei der lokalen Konfiguration kann der delegierte Administrator Security Hub CSPM und eine begrenzte Anzahl von Sicherheitsstandards automatisch in neuen Unternehmenskonten in der aktuellen Region aktivieren. Die lokale Konfiguration gilt nicht für bestehende Organisationskonten oder für andere Regionen als die aktuelle Region. Die lokale Konfiguration unterstützt auch nicht die Verwendung von Konfigurationsrichtlinien.

## Manuelles Aktivieren von Security Hub CSPM
<a name="securityhub-manual-setup-overview"></a>

Sie müssen Security Hub CSPM manuell aktivieren, wenn Sie ein eigenständiges Konto haben oder wenn Sie es nicht integrieren. AWS Organizations Eigenständige Konten können nicht integriert werden AWS Organizations und müssen manuell aktiviert werden.

Wenn Sie Security Hub CSPM manuell aktivieren, legen Sie ein Security Hub CSPM-Administratorkonto fest und laden andere Konten ein, Mitgliedskonten zu werden. Die Beziehung zwischen Administrator und Mitglied wird hergestellt, wenn ein potenzielles Mitgliedskonto die Einladung annimmt.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Security Hub CSPM zu aktivieren. Wenn Sie Security Hub CSPM von der Konsole aus aktivieren, haben Sie auch die Möglichkeit, die unterstützten Sicherheitsstandards zu aktivieren.

------
#### [ Security Hub CSPM console ]

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1.  Wenn Sie die Security Hub CSPM-Konsole zum ersten Mal öffnen, wählen Sie **Gehe zu Security Hub** CSPM.

1. Auf der Willkommensseite werden im Abschnitt **Sicherheitsstandards** die Sicherheitsstandards aufgeführt, die Security Hub CSPM unterstützt.

   Aktivieren Sie das Kontrollkästchen für einen Standard, um ihn zu aktivieren, und deaktivieren Sie das Kontrollkästchen, um ihn zu deaktivieren.

   Sie können einen Standard oder seine einzelnen Steuerelemente jederzeit aktivieren oder deaktivieren. Informationen zur Verwaltung von Sicherheitsstandards finden Sie unter[Sicherheitsstandards in Security Hub CSPM verstehen](standards-view-manage.md).

1. Wählen Sie **Enable Security Hub (Security Hub aktivieren)**.

------
#### [ Security Hub CSPM API ]

Rufen Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html)API auf. Wenn Sie Security Hub CSPM über die API aktivieren, werden automatisch die folgenden Standardsicherheitsstandards aktiviert:
+ AWS Bewährte grundlegende Sicherheitsmethoden
+ Benchmark v1.2.0 für die AWS Grundlagen des Zentrums für Internetsicherheit (CIS)

Wenn Sie diese Standards nicht aktivieren möchten, setzen Sie `EnableDefaultStandards` auf `false`.

Sie können den `Tags` Parameter auch verwenden, um der Hub-Ressource Tag-Werte zuzuweisen.

------
#### [ AWS CLI ]

Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html) aus. Um die Standardstandards zu aktivieren, schließen Sie ein`--enable-default-standards`. Um die Standardstandards nicht zu aktivieren, fügen Sie hinzu`--no-enable-default-standards`. Die Standardsicherheitsstandards lauten wie folgt:
+ AWS Bewährte grundlegende Sicherheitsmethoden
+ Benchmark v1.2.0 für die AWS Grundlagen des Zentrums für Internetsicherheit (CIS)

```
aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]
```

**Beispiel**

```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```

------

### Skript zur Aktivierung mehrerer Konten
<a name="securityhub-enable-multiaccount-script"></a>

**Anmerkung**  
Anstelle dieses Skripts empfehlen wir, die zentrale Konfiguration zu verwenden, um Security Hub CSPM für mehrere Konten und Regionen zu aktivieren und zu konfigurieren. 

Das [Security Hub CSPM-Skript zur Aktivierung mehrerer Konten in GitHub ermöglicht es Ihnen, Security Hub CSPM](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) konto- und regionsübergreifend zu aktivieren. Das Skript automatisiert auch den Prozess des Versendens von Einladungen an Mitgliedskonten und der Aktivierung. AWS Config

Das Skript aktiviert automatisch die AWS Config Ressourcenaufzeichnung für alle Ressourcen, einschließlich globaler Ressourcen, in allen Regionen. Es beschränkt die Aufzeichnung globaler Ressourcen nicht auf eine einzelne Region. Um Kosten zu sparen, empfehlen wir, globale Ressourcen nur in einer einzigen Region zu erfassen. Wenn Sie eine zentrale Konfiguration oder regionsübergreifende Aggregation verwenden, sollte dies Ihre Heimatregion sein. Weitere Informationen finden Sie unter [Ressourcen aufzeichnen in AWS Config](securityhub-setup-prereqs.md#config-resource-recording).

Es gibt ein entsprechendes Skript, um Security Hub CSPM konto- und regionsübergreifend zu deaktivieren.

## Nächste Schritte: Posture-Management und Integrationen
<a name="securityhub-enable-next-steps"></a>

Nach der Aktivierung von Security Hub CSPM empfehlen wir, Sicherheitsstandards und -kontrollen zu aktivieren, um Ihren Sicherheitsstatus zu überwachen. Nachdem Sie die Kontrollen aktiviert haben, beginnt Security Hub CSPM mit der Durchführung von Sicherheitsprüfungen und generiert Kontrollergebnisse, anhand derer Sie Fehlkonfigurationen in Ihrer Umgebung erkennen können. AWS Um Kontrollergebnisse zu erhalten, müssen Sie Security Hub AWS Config CSPM aktivieren und konfigurieren. Weitere Informationen finden Sie unter [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md).

Nachdem Sie Security Hub CSPM aktiviert haben, können Sie auch Integrationen zwischen Security Hub CSPM und anderen AWS-Services Lösungen und Lösungen von Drittanbietern nutzen, um deren Ergebnisse in Security Hub CSPM zu sehen. Security Hub CSPM aggregiert Ergebnisse aus verschiedenen Quellen und nimmt sie in einem konsistenten Format auf. Weitere Informationen finden Sie unter [Integrationen in Security Hub CSPM verstehen](securityhub-findings-providers.md). 

# Aktivierung und Konfiguration AWS Config für Security Hub CSPM
<a name="securityhub-setup-prereqs"></a>

AWS Security Hub CSPM verwendet AWS Config Regeln, um Sicherheitsüberprüfungen durchzuführen und Ergebnisse für die meisten Kontrollen zu generieren. AWS Config bietet einen detaillierten Überblick über die Konfiguration der AWS Ressourcen in Ihrem. AWS-Konto Es verwendet Regeln, um eine Basiskonfiguration für Ihre Ressourcen festzulegen, und einen Konfigurationsrekorder, um festzustellen, ob eine bestimmte Ressource gegen die Bedingungen einer Regel verstößt.

Einige Regeln, die als AWS Config verwaltete Regeln bezeichnet werden, sind vordefiniert und wurden von AWS Config entwickelt. Andere Regeln sind benutzerdefinierte AWS Config Regeln, die Security Hub CSPM entwickelt. AWS Config Regeln, die Security Hub CSPM für Kontrollen verwendet, werden als *dienstbezogene* Regeln bezeichnet. Serviceverknüpfte Regeln ermöglichen es AWS-Services beispielsweise Security Hub CSPM, AWS Config Regeln in Ihrem Konto zu erstellen. 

Um Kontrollergebnisse in Security Hub CSPM zu erhalten, müssen Sie die Aktivierung AWS Config für Ihr Konto vornehmen. Sie müssen auch die Ressourcenaufzeichnung für die Ressourcentypen aktivieren, die mit aktivierten Kontrollen ausgewertet werden. Security Hub CSPM kann dann die entsprechenden AWS Config Regeln für die Kontrollen erstellen und mit der Durchführung von Sicherheitsprüfungen beginnen und Ergebnisse für die Kontrollen generieren.

**Topics**
+ [

## Überlegungen vor der Aktivierung und Konfiguration AWS Config
](#securityhub-prereq-config)
+ [

## Ressourcen aufzeichnen in AWS Config
](#config-resource-recording)
+ [

## Möglichkeiten zur Aktivierung und Konfiguration AWS Config
](#config-how-to-enable)
+ [

## Das Config.1-Steuerelement verstehen
](#config-1-overview)
+ [

## Generierung dienstbezogener Regeln
](#securityhub-standards-generate-awsconfigrules)
+ [

## Kostenüberlegungen
](#config-cost-considerations)

## Überlegungen vor der Aktivierung und Konfiguration AWS Config
<a name="securityhub-prereq-config"></a>

Um Kontrollergebnisse in Security Hub CSPM zu erhalten, AWS Config muss es für Ihr Konto in allen Ländern aktiviert sein, in AWS-Region denen Security Hub CSPM aktiviert ist. Wenn Sie Security Hub CSPM für eine Umgebung mit mehreren Konten verwenden, AWS Config muss es in jeder Region für das Administratorkonto und alle Mitgliedskonten aktiviert sein.

Wir empfehlen dringend, die Ressourcenaufzeichnung zu aktivieren, AWS Config *bevor* Sie die Security Hub CSPM-Standards und -Steuerelemente aktivieren. Auf diese Weise können Sie sicherstellen, dass Ihre Kontrollergebnisse korrekt sind.

Um die Ressourcenaufzeichnung in zu aktivieren AWS Config, müssen Sie über ausreichende Berechtigungen zum Aufzeichnen von Ressourcen in der AWS Identity and Access Management (IAM) -Rolle verfügen, die dem Konfigurationsrekorder zugeordnet ist. Stellen Sie außerdem sicher, dass keine IAM-Richtlinien oder AWS Organizations -Richtlinien AWS Config verhindern, dass Sie berechtigt sind, Ihre Ressourcen aufzuzeichnen. Die CSPM-Steuerungen von Security Hub werten Ressourcenkonfigurationen direkt aus und berücksichtigen keine AWS Organizations Richtlinien. Weitere Informationen zur AWS Config Aufzeichnung finden Sie unter [Arbeiten mit dem Konfigurationsrekorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) im *AWS Config Entwicklerhandbuch*.

Wenn Sie einen Standard in Security Hub CSPM aktivieren, ihn aber nicht aktiviert haben AWS Config, versucht Security Hub CSPM, serviceverknüpfte AWS Config Regeln gemäß dem folgenden Zeitplan zu erstellen:
+ An dem Tag, an dem Sie den Standard aktivieren.
+ Am Tag, nachdem Sie den Standard aktiviert haben.
+ 3 Tage, nachdem Sie den Standard aktiviert haben.
+ 7 Tage nach der Aktivierung des Standards und danach kontinuierlich alle 7 Tage.

Wenn Sie die zentrale Konfiguration verwenden, versucht Security Hub CSPM jedes Mal, servicebezogene AWS Config Regeln zu erstellen, wenn Sie Konten, Organisationseinheiten (OUs) oder dem Stamm eine Konfigurationsrichtlinie zuordnen, die einen oder mehrere Standards aktiviert.

## Ressourcen aufzeichnen in AWS Config
<a name="config-resource-recording"></a>

Bei der Aktivierung müssen Sie angeben AWS Config, welche AWS Ressourcen der AWS Config Konfigurationsrekorder aufzeichnen soll. Durch die serviceverknüpften Regeln ermöglicht der Konfigurationsrekorder Security Hub CSPM, Änderungen an Ihren Ressourcenkonfigurationen zu erkennen.

Damit Security Hub CSPM genaue Kontrollergebnisse generiert, müssen Sie die Aufzeichnung AWS Config für die Ressourcentypen aktivieren, die Ihren aktivierten Kontrollen entsprechen. Es handelt sich in erster Linie um aktivierte Steuerelemente mit einem *durch Änderung ausgelösten* Zeitplantyp, für den Ressourcen aufgezeichnet werden müssen. Für einige Steuerelemente mit einem *periodischen* Zeitplan ist auch die Erfassung von Ressourcen erforderlich. Eine Liste dieser Steuerelemente und der entsprechenden Ressourcen finden Sie unter[Erforderliche AWS Config Ressourcen für Kontrollbefunde](controls-config-resources.md).

**Warnung**  
Wenn Sie die AWS Config Aufzeichnung für Security Hub CSPM-Steuerungen nicht korrekt konfigurieren, kann dies zu ungenauen Kontrollergebnissen führen, insbesondere in den folgenden Fällen:  
Sie haben die Ressource für ein bestimmtes Steuerelement nie aufgezeichnet, oder Sie haben die Aufzeichnung einer Ressource deaktiviert, bevor Sie diesen Ressourcentyp erstellt haben. In diesen Fällen erhalten Sie einen `WARNING` Befund für das fragliche Steuerelement, obwohl Sie möglicherweise Ressourcen im Bereich des Steuerelements erstellt haben, nachdem Sie die Aufzeichnung deaktiviert haben. Bei diesem `WARNING` Ergebnis handelt es sich um ein Standardergebnis, bei dem der Konfigurationsstatus der Ressource nicht wirklich bewertet wird.
Sie deaktivieren die Aufzeichnung für eine Ressource, die von einem bestimmten Steuerelement ausgewertet wird. In diesem Fall behält Security Hub CSPM die Kontrollergebnisse bei, die generiert wurden, bevor Sie die Aufzeichnung deaktiviert haben, obwohl das Steuerelement keine neuen oder aktualisierten Ressourcen auswertet. Security Hub CSPM ändert auch den Compliance-Status der Ergebnisse auf. `WARNING` Diese gespeicherten Ergebnisse geben möglicherweise nicht genau den aktuellen Konfigurationsstatus einer Ressource wieder.

 AWS Config Zeichnet standardmäßig alle unterstützten *regionalen Ressourcen* auf, die es in der Umgebung entdeckt, AWS-Region in der es ausgeführt wird. Um alle Ergebnisse der Security Hub CSPM-Kontrolle zu erhalten, müssen Sie auch die Aufzeichnung *globaler AWS Config * Ressourcen konfigurieren. Um Kosten zu sparen, empfehlen wir, globale Ressourcen nur in einer einzigen Region zu erfassen. Wenn Sie die zentrale Konfiguration oder die regionsübergreifende Aggregation verwenden, sollte diese Region Ihre Heimatregion sein.

In AWS Config können Sie zwischen *kontinuierlicher Aufzeichnung und *täglicher Aufzeichnung** von Änderungen des Ressourcenstatus wählen. Wenn Sie sich für die tägliche Aufzeichnung AWS Config entscheiden, werden die Ressourcenkonfigurationsdaten am Ende jedes 24-Stunden-Zeitraums bereitgestellt, wenn sich der Ressourcenstatus ändert. Wenn es keine Änderungen gibt, werden keine Daten geliefert. Dies kann die Generierung von Security Hub CSPM-Ergebnissen für durch Änderungen ausgelöste Kontrollen verzögern, bis ein Zeitraum von 24 Stunden abgeschlossen ist.

*Weitere Informationen zur AWS Config Aufzeichnung finden Sie im Entwicklerhandbuch unter Ressourcen [aufzeichnen AWS](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).AWS Config *

## Möglichkeiten zur Aktivierung und Konfiguration AWS Config
<a name="config-how-to-enable"></a>

Sie können die Ressourcenaufzeichnung auf eine der folgenden Arten aktivieren AWS Config und aktivieren:
+ **AWS Config Konsole** — Sie können AWS Config die Aktivierung für ein Konto über die AWS Config Konsole vornehmen. Anweisungen finden Sie im *AWS Config Entwicklerhandbuch* unter [Einrichtung AWS Config mit der Konsole](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html).
+ **AWS CLI oder SDKs** — Sie können AWS Config die Aktivierung für ein Konto mithilfe von AWS Command Line Interface (AWS CLI) vornehmen. Eine Anleitung dazu finden Sie unter [Einrichtung AWS Config mit dem AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html) im *AWS Config Entwicklerhandbuch*. AWS Software Development Kits (SDKs) sind auch für viele Programmiersprachen verfügbar.
+ **CloudFormation Vorlage** — Zur Aktivierung AWS Config für viele Konten empfehlen wir, die AWS CloudFormation Vorlage mit dem Namen **Enable** zu verwenden AWS Config. Informationen zum Zugriff auf diese Vorlage finden Sie in den [AWS CloudFormation StackSet Beispielvorlagen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) im *AWS CloudFormation Benutzerhandbuch*.

  Standardmäßig schließt diese Vorlage Aufzeichnungen für globale IAM-Ressourcen aus. Stellen Sie sicher, dass Sie die Aufzeichnung für globale IAM-Ressourcen nur in einer Version aktivieren, um Aufzeichnungskosten AWS-Region zu sparen. Wenn Sie die regionsübergreifende Aggregation aktiviert haben, sollte dies Ihre [Security Hub CSPM-Heimatregion](finding-aggregation.md) sein. Andernfalls kann es sich um jede Region handeln, in der Security Hub CSPM verfügbar ist und die Aufzeichnung globaler IAM-Ressourcen unterstützt. Wir empfehlen, eine StackSet zu starten, um alle Ressourcen, einschließlich globaler IAM-Ressourcen, in der Heimatregion oder einer anderen ausgewählten Region aufzuzeichnen. Führen Sie dann eine Sekunde aus, StackSet um alle Ressourcen außer den globalen IAM-Ressourcen in anderen Regionen aufzuzeichnen.
+ **GitHub script** — Security Hub CSPM bietet ein [GitHubSkript](https://github.com/awslabs/aws-securityhub-multiaccount-scripts), das Security Hub CSPM aktiviert, und zwar AWS Config für mehrere Konten in verschiedenen Regionen. Dieses Skript ist nützlich, wenn Sie es nicht integriert haben oder wenn Sie einige Mitgliedskonten haben AWS Organizations, die nicht Teil einer Organisation sind.

Weitere Informationen finden Sie im folgenden Blogbeitrag im *AWS Sicherheitsblog: Optimieren Sie AWS Config für AWS Security* [Hub CSPM, um Ihre Cloud-Sicherheitslage effektiv zu verwalten](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/).

## Das Config.1-Steuerelement verstehen
<a name="config-1-overview"></a>

In Security Hub CSPM generiert das [Config.1-Steuerelement](config-controls.md#config-1) `FAILED` Ergebnisse in Ihrem Konto, wenn AWS Config es deaktiviert ist. Es generiert auch `FAILED` Ergebnisse in Ihrem Konto, wenn es aktiviert AWS Config ist, aber die Ressourcenaufzeichnung nicht aktiviert ist. 

Wenn aktiviert AWS Config ist und die Ressourcenaufzeichnung aktiviert ist, die Ressourcenaufzeichnung jedoch nicht für einen Ressourcentyp aktiviert ist, den ein aktiviertes Steuerelement überprüft, generiert Security Hub CSPM einen `FAILED` Befund für das Config.1-Steuerelement. Zusätzlich zu diesem `FAILED` Ergebnis generiert Security Hub CSPM `WARNING` Ergebnisse für das aktivierte Steuerelement und die Arten von Ressourcen, die das Steuerelement überprüft. Wenn Sie beispielsweise das [KMS.5-Steuerelement](kms-controls.md#kms-5) aktivieren und die Ressourcenaufzeichnung nicht aktiviert ist AWS KMS keys, generiert Security Hub CSPM einen `FAILED` Befund für das Config.1-Steuerelement. Security Hub CSPM generiert auch `WARNING` Ergebnisse für das KMS.5-Steuerelement und Ihre KMS-Schlüssel.

Um ein `PASSED` Ergebnis für das Config.1-Steuerelement zu erhalten, aktivieren Sie die Ressourcenaufzeichnung für alle Ressourcentypen, die den aktivierten Steuerelementen entsprechen. Deaktivieren Sie außerdem Steuerelemente, die für Ihre Organisation nicht erforderlich sind. Auf diese Weise können Sie sicherstellen, dass Ihre Sicherheitskontrollen keine Konfigurationslücken aufweisen. Auf diese Weise können Sie auch sicherstellen, dass Sie genaue Informationen zu falsch konfigurierten Ressourcen erhalten.

Wenn Sie der delegierte Security Hub CSPM-Administrator für eine Organisation sind, muss die AWS Config Aufzeichnung für Ihr Konto und Ihre Mitgliedskonten korrekt konfiguriert sein. Wenn Sie die regionsübergreifende Aggregation verwenden, muss die AWS Config Aufzeichnung in der Heimatregion und allen verknüpften Regionen korrekt konfiguriert sein. Globale Ressourcen müssen nicht in verknüpften Regionen aufgezeichnet werden.

## Generierung dienstbezogener Regeln
<a name="securityhub-standards-generate-awsconfigrules"></a>

Für jedes Steuerelement, das eine serviceverknüpfte AWS Config Regel verwendet, erstellt Security Hub CSPM Instanzen der erforderlichen Regel in Ihrer Umgebung. AWS 

Diese serviceverknüpften Regeln sind spezifisch für Security Hub CSPM. Security Hub CSPM erstellt diese serviceverknüpften Regeln auch dann, wenn bereits andere Instanzen derselben Regeln existieren. Bei der serviceverknüpften Regel wird `securityhub` vor dem ursprünglichen Regelnamen und nach dem Regelnamen ein eindeutiger Bezeichner hinzugefügt. Für die AWS Config verwaltete Regel `vpc-flow-logs-enabled` könnte der Name der serviceverknüpften Regel beispielsweise lauten. `securityhub-vpc-flow-logs-enabled-12345`

Es gibt Kontingente für die Anzahl der AWS Config verwalteten Regeln, die zur Bewertung von Kontrollen verwendet werden können. AWS Config Regeln, die Security Hub CSPM erstellt, werden nicht auf diese Kontingente angerechnet. Sie können einen Sicherheitsstandard aktivieren, auch wenn Sie das AWS Config Kontingent für verwaltete Regeln in Ihrem Konto bereits erreicht haben. Weitere Informationen zu Kontingenten für AWS Config Regeln finden Sie unter [Dienstbeschränkungen für AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html) im *AWS Config Entwicklerhandbuch*.

## Kostenüberlegungen
<a name="config-cost-considerations"></a>

Security Hub CSPM kann sich auf Ihre Kosten für den AWS Config Konfigurationsrekorder auswirken, indem das `AWS::Config::ResourceCompliance` Konfigurationselement aktualisiert wird. Updates können jedes Mal erfolgen, wenn ein Security Hub CSPM-Steuerelement, das einer AWS Config Regel zugeordnet ist, den Konformitätsstatus ändert, aktiviert oder deaktiviert wird oder Parameter-Updates enthält. Wenn Sie den AWS Config Konfigurationsrekorder nur für Security Hub CSPM verwenden und dieses Konfigurationselement nicht für andere Zwecke verwenden, empfehlen wir, die Aufzeichnung dafür in zu deaktivieren. AWS Config Dies kann Ihre AWS Config Kosten senken. Sie müssen keine Aufzeichnungen machen, `AWS::Config::ResourceCompliance` damit Sicherheitsüberprüfungen in Security Hub CSPM funktionieren.

[Informationen zu den Kosten im Zusammenhang mit der Ressourcenaufzeichnung finden Sie unter [AWS Security Hub CSPM — Preise und AWS Config Preise](https://aws.amazon.com/security-hub/pricing/).](https://aws.amazon.com/config/pricing/)

# Grundlegendes zur lokalen Konfiguration in Security Hub CSPM
<a name="local-configuration"></a>

Die lokale Konfiguration ist die Standardmethode, mit der eine AWS Organisation in Security Hub CSPM konfiguriert wird. Wenn Sie sich nicht für die zentrale Konfiguration entscheiden und diese aktivieren, verwendet Ihre Organisation standardmäßig die lokale Konfiguration.

Bei der lokalen Konfiguration hat das delegierte Security Hub CSPM-Administratorkonto eingeschränkte Kontrolle über die Konfigurationseinstellungen. Die einzigen Einstellungen, die der delegierte Administrator durchsetzen kann, sind die automatische Aktivierung von Security Hub CSPM und Standardsicherheitsstandards in neuen Unternehmenskonten. Diese Einstellungen gelten nur in der Region, in der Sie das delegierte Administratorkonto angegeben haben. Die Standardsicherheitsstandards sind AWS Foundational Security Best Practices (FSBP) und Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Lokale Konfigurationseinstellungen gelten nicht für bestehende Organisationskonten oder für andere Regionen als die, für die das delegierte Administratorkonto eingerichtet wurde.

Neben der Aktivierung von Security Hub CSPM und Standardstandards in neuen Organisationskonten in einer einzelnen Region müssen Sie andere Security Hub CSPM-Einstellungen, einschließlich Standards und Kontrollen, für jede Region und jedes Konto separat konfigurieren. Da dies ein doppelter Vorgang sein kann, empfehlen wir, die zentrale Konfiguration für eine Umgebung mit mehreren Konten zu verwenden, wenn eine oder mehrere der folgenden Bedingungen auf Sie zutreffen:
+ Sie möchten unterschiedliche Konfigurationseinstellungen für verschiedene Teile Ihrer Organisation (z. B. unterschiedliche aktivierte Standards oder Kontrollen für verschiedene Teams).
+ Sie sind in mehreren Regionen tätig und möchten den Zeitaufwand und die Komplexität der Konfiguration des Dienstes in diesen Regionen reduzieren.
+ Sie möchten, dass neue Konten bestimmte Konfigurationseinstellungen verwenden, wenn sie der Organisation beitreten.
+ Sie möchten, dass Unternehmenskonten bestimmte Konfigurationseinstellungen von einem übergeordneten Konto oder einem Stammkonto erben.

Hinweise zur zentralen Konfiguration finden Sie unter[Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

# Grundlegendes zur zentralen Konfiguration in Security Hub CSPM
<a name="central-configuration-intro"></a>

Die zentrale Konfiguration ist eine AWS Security Hub CSPM-Funktion, mit der Sie Security Hub CSPM für mehrere und einrichten und verwalten können. AWS-Konten AWS-Regionen Um die zentrale Konfiguration zu verwenden, müssen Sie zuerst Security Hub CSPM und integrieren. AWS Organizations Sie können die Dienste integrieren, indem Sie eine Organisation erstellen und ein delegiertes Security Hub CSPM-Administratorkonto für die Organisation festlegen.

Über das delegierte Security Hub CSPM-Administratorkonto können Sie Security Hub CSPM für die Konten und Organisationseinheiten () Ihrer Organisation in allen Regionen aktivieren. OUs Sie können auch individuelle Sicherheitsstandards und Sicherheitskontrollen für Konten und regionsübergreifend aktivieren, konfigurieren und deaktivieren. OUs Sie können diese Einstellungen in nur wenigen Schritten von einer Hauptregion aus konfigurieren, die als *Heimatregion* bezeichnet wird.

Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator auswählen, welche Konten konfiguriert werden OUs sollen. Wenn der delegierte Administrator ein Mitgliedskonto oder eine Organisationseinheit als *selbstverwaltetes* Konto festlegt, kann das Mitglied seine eigenen Einstellungen in jeder Region separat konfigurieren. Wenn der delegierte Administrator ein Mitgliedskonto oder eine Organisationseinheit als *zentral verwaltet* festlegt, kann nur der delegierte Administrator das Mitgliedskonto oder die Organisationseinheit regionsübergreifend konfigurieren. Sie können alle Konten OUs in Ihrer Organisation als zentral verwaltet, alle selbstverwaltet oder als eine Kombination aus beidem festlegen.

Um zentral verwaltete Konten zu konfigurieren, verwendet der delegierte Administrator die Security Hub CSPM-Konfigurationsrichtlinien. Mithilfe von Konfigurationsrichtlinien kann der delegierte Administrator angeben, ob Security Hub CSPM aktiviert oder deaktiviert ist und welche Standards und Kontrollen aktiviert oder deaktiviert sind. Sie können auch verwendet werden, um Parameter für bestimmte Steuerelemente anzupassen.

Konfigurationsrichtlinien werden in der Heimatregion und allen verknüpften Regionen wirksam. Der delegierte Administrator gibt die Heimatregion der Organisation und die verknüpften Regionen an, bevor er die zentrale Konfiguration verwendet. Die Angabe verknüpfter Regionen ist optional. Der delegierte Administrator kann eine einzige Konfigurationsrichtlinie für die gesamte Organisation oder mehrere Konfigurationsrichtlinien erstellen, um variable Einstellungen für verschiedene Konten und OUs zu konfigurieren.

**Tipp**  
Wenn Sie keine zentrale Konfiguration verwenden, müssen Sie Security Hub CSPM für jedes Konto und jede Region weitgehend separat konfigurieren. Dies wird als *lokale* Konfiguration bezeichnet. Bei der lokalen Konfiguration kann der delegierte Administrator Security Hub CSPM und eine begrenzte Anzahl von Sicherheitsstandards automatisch in neuen Unternehmenskonten in der aktuellen Region aktivieren. Die lokale Konfiguration gilt nicht für bestehende Organisationskonten oder für andere Regionen als die aktuelle Region. Die lokale Konfiguration unterstützt auch nicht die Verwendung von Konfigurationsrichtlinien.

Dieser Abschnitt bietet einen Überblick über die zentrale Konfiguration.

## Vorteile der Verwendung der zentralen Konfiguration
<a name="central-configuration-benefits"></a>

Die zentrale Konfiguration bietet unter anderem folgende Vorteile:

**Vereinfachen Sie die Konfiguration des Security Hub CSPM-Dienstes und der Funktionen**  
Wenn Sie die zentrale Konfiguration verwenden, führt Sie Security Hub CSPM durch den Prozess der Konfiguration bewährter Sicherheitsmethoden für Ihr Unternehmen. Außerdem werden die daraus resultierenden Konfigurationsrichtlinien automatisch für bestimmte Konten bereitgestellt. OUs Wenn Sie über bestehende Security Hub CSPM-Einstellungen verfügen, z. B. die automatische Aktivierung neuer Sicherheitskontrollen, können Sie diese als Ausgangspunkt für Ihre Konfigurationsrichtlinien verwenden. Darüber hinaus wird auf der **Konfigurationsseite** der Security Hub CSPM-Konsole in Echtzeit eine Zusammenfassung Ihrer Konfigurationsrichtlinien angezeigt und angegeben, welche Konten und welche Richtlinien OUs verwendet werden.

**Konten- und regionsübergreifend konfigurieren**  
Sie können die zentrale Konfiguration verwenden, um Security Hub CSPM für mehrere Konten und Regionen zu konfigurieren. Auf diese Weise können Sie sicherstellen, dass jeder Teil Ihres Unternehmens eine konsistente Konfiguration und einen angemessenen Sicherheitsschutz beibehält.

**Passen Sie unterschiedliche Konfigurationen in unterschiedlichen Konten an und OUs**  
Bei der zentralen Konfiguration können Sie wählen, ob Sie die Konten Ihrer Organisation auf unterschiedliche OUs Weise konfigurieren möchten. Beispielsweise können für Ihre Testkonten und Produktionskonten unterschiedliche Konfigurationen erforderlich sein. Sie können auch eine Konfigurationsrichtlinie erstellen, die neue Konten abdeckt, wenn diese der Organisation beitreten.

**Vermeiden Sie Konfigurationsabweichungen**  
Konfigurationsabweichungen treten auf, wenn ein Benutzer eine Änderung an einem Dienst oder einer Funktion vornimmt, die mit den Einstellungen des delegierten Administrators in Konflikt steht. Die zentrale Konfiguration verhindert diese Abweichung. Wenn Sie ein Konto oder eine Organisationseinheit als zentral verwaltet kennzeichnen, kann sie nur vom delegierten Administrator der Organisation konfiguriert werden. Wenn Sie es vorziehen, dass ein bestimmtes Konto oder eine bestimmte Organisationseinheit ihre eigenen Einstellungen konfiguriert, können Sie es als selbstverwaltet kennzeichnen.

## Wann sollte die zentrale Konfiguration verwendet werden?
<a name="central-configuration-audience"></a>

Die zentrale Konfiguration ist am vorteilhaftesten für AWS Umgebungen, die mehrere Security Hub CSPM-Konten enthalten. Es wurde entwickelt, um Ihnen zu helfen, Security Hub CSPM für mehrere Konten zentral zu verwalten.

Sie können die zentrale Konfiguration verwenden, um den Security Hub CSPM-Dienst, Sicherheitsstandards und Sicherheitskontrollen zu konfigurieren. Sie können es auch verwenden, um die Parameter bestimmter Steuerelemente anzupassen. Weitere Informationen zu Sicherheitsstandards finden Sie unter[Sicherheitsstandards in Security Hub CSPM verstehen](standards-view-manage.md). Weitere Informationen zu Sicherheitskontrollen finden Sie unter[Grundlegendes zu den Sicherheitskontrollen in Security Hub CSPM](controls-view-manage.md).



## Zentrale Begriffe und Konzepte zur Konfiguration
<a name="central-configuration-concepts"></a>

Wenn Sie die folgenden wichtigen Begriffe und Konzepte verstehen, können Sie die zentrale Konfiguration von Security Hub CSPM verwenden.

**Zentrale Konfiguration**  
Eine Security Hub CSPM-Funktion, die dem delegierten Security Hub CSPM-Administratorkonto für eine Organisation hilft, den Security Hub CSPM-Dienst, Sicherheitsstandards und Sicherheitskontrollen für mehrere Konten und Regionen zu konfigurieren. Um diese Einstellungen zu konfigurieren, erstellt und verwaltet der delegierte Administrator Security Hub CSPM-Konfigurationsrichtlinien für zentral verwaltete Konten in seiner Organisation. Selbstverwaltete Konten können ihre eigenen Einstellungen in jeder Region separat konfigurieren. Um die zentrale Konfiguration zu verwenden, müssen Sie Security Hub CSPM und integrieren. AWS Organizations

**Heimatregion**  
 AWS-Region Von dort aus konfiguriert der delegierte Administrator Security Hub CSPM zentral, indem er Konfigurationsrichtlinien erstellt und verwaltet. Konfigurationsrichtlinien gelten in der Heimatregion und allen verknüpften Regionen.  
Die Heimatregion dient auch als Security Hub CSPM-Aggregationsregion und empfängt Ergebnisse, Erkenntnisse und andere Daten aus verknüpften Regionen.  
Regionen, die am oder nach dem 20. März 2019 AWS eingeführt wurden, werden als Opt-in-Regionen bezeichnet. Eine Opt-in-Region kann nicht die Heimatregion sein, aber es kann sich um eine verknüpfte Region handeln. Eine Liste der Regionen, für die Sie sich anmelden können, finden Sie im Referenzhandbuch zur *AWS Kontoverwaltung* unter [Überlegungen vor dem Aktivieren und Deaktivieren von Regionen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations).

**Verknüpfte Region**  
Und AWS-Region das kann von der Heimatregion aus konfiguriert werden. Konfigurationsrichtlinien werden vom delegierten Administrator in der Heimatregion erstellt. Die Richtlinien werden in der Heimatregion und allen verknüpften Regionen wirksam. Die Angabe verknüpfter Regionen ist optional.  
Eine verknüpfte Region sendet auch Ergebnisse, Erkenntnisse und andere Daten an die Heimatregion.  
Regionen, die am oder nach dem 20. März 2019 AWS eingeführt wurden, werden als Opt-in-Regionen bezeichnet. Sie müssen eine solche Region für ein Konto aktivieren, bevor eine Konfigurationsrichtlinie darauf angewendet werden kann. Das Verwaltungskonto für Organizations kann Opt-in-Regionen für ein Mitgliedskonto aktivieren. Weitere Informationen finden [Sie im *Referenzhandbuch zur AWS-Regionen Kontoverwaltung unter Geben Sie an, welche AWS Konten* verwendet werden können](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable).

**Ziel**  
Eine AWS-Konto, Organisationseinheit (OU) oder der Organisationsstamm.

**Security Hub CSPM-Konfigurationsrichtlinie**  
Eine Sammlung von Security Hub CSPM-Einstellungen, die der delegierte Administrator für zentral verwaltete Ziele konfigurieren kann. Dies umfasst:  
+ Ob Security Hub CSPM aktiviert oder deaktiviert werden soll.
+ Ob ein oder mehrere [Sicherheitsstandards](standards-reference.md) aktiviert werden sollen.
+ Welche [Sicherheitskontrollen](securityhub-controls-reference.md) für alle aktivierten Standards aktiviert werden sollen. Der delegierte Administrator kann dies tun, indem er eine Liste bestimmter Kontrollen bereitstellt, die aktiviert werden sollten, und Security Hub CSPM deaktiviert alle anderen Kontrollen (einschließlich neuer Kontrollen, wenn sie veröffentlicht werden). Alternativ kann der delegierte Administrator eine Liste bestimmter Kontrollen bereitstellen, die deaktiviert werden sollten, und Security Hub CSPM aktiviert alle anderen Kontrollen (einschließlich neuer Kontrollen, wenn sie veröffentlicht werden).
+ [Passen Sie optional die Parameter](custom-control-parameters.md) für ausgewählte aktivierte Steuerelemente in allen aktivierten Standards an.
Eine Konfigurationsrichtlinie wird in der Heimatregion und allen verknüpften Regionen wirksam, nachdem sie mindestens einem Konto, einer Organisationseinheit (OU) oder dem Stammverzeichnis zugeordnet wurde.  
Auf der Security Hub CSPM-Konsole kann der delegierte Administrator die von Security Hub CSPM empfohlene Konfigurationsrichtlinie auswählen oder benutzerdefinierte Konfigurationsrichtlinien erstellen. Mit der Security Hub CSPM-API und AWS CLI kann der delegierte Administrator nur benutzerdefinierte Konfigurationsrichtlinien erstellen. Der delegierte Administrator kann maximal 20 benutzerdefinierte Konfigurationsrichtlinien erstellen.  
In der empfohlenen Konfigurationsrichtlinie sind Security Hub CSPM, der Standard AWS Foundational Security Best Practices (FSBP) und alle vorhandenen und neuen FSBP-Steuerelemente aktiviert. Steuerelemente, die Parameter akzeptieren, verwenden die Standardwerte. Die empfohlene Konfigurationsrichtlinie gilt für die gesamte Organisation.  
Um unterschiedliche Einstellungen auf die Organisation anzuwenden oder unterschiedliche Konfigurationsrichtlinien auf verschiedene Konten anzuwenden und OUs eine benutzerdefinierte Konfigurationsrichtlinie zu erstellen.

**Lokale Konfiguration**  
Der Standardkonfigurationstyp für eine Organisation nach der Integration von Security Hub CSPM und. AWS Organizations Bei der lokalen Konfiguration kann der delegierte Administrator festlegen, dass Security Hub CSPM und [Standardsicherheitsstandards](securityhub-auto-enabled-standards.md) in *neuen* Unternehmenskonten in der aktuellen Region automatisch aktiviert werden. Wenn der delegierte Administrator automatisch Standardstandards aktiviert, werden alle Kontrollen, die Teil dieser Standards sind, auch automatisch mit Standardparametern für neue Organisationskonten aktiviert. Diese Einstellungen gelten nicht für bestehende Konten, sodass nach dem Beitritt eines Kontos zur Organisation eine Änderung der Konfiguration möglich ist. Die Deaktivierung bestimmter Kontrollen, die Teil der Standardstandards sind, und die Konfiguration zusätzlicher Standards und Kontrollen müssen für jedes Konto und jede Region separat erfolgen.  
Die lokale Konfiguration unterstützt die Verwendung von Konfigurationsrichtlinien nicht. Um Konfigurationsrichtlinien zu verwenden, müssen Sie zur zentralen Konfiguration wechseln.

**Manuelle Kontoverwaltung**  
Wenn Sie Security Hub CSPM nicht in Security Hub integrieren AWS Organizations oder ein eigenständiges Konto haben, müssen Sie die Einstellungen für jedes Konto in jeder Region separat angeben. Die manuelle Kontoverwaltung unterstützt die Verwendung von Konfigurationsrichtlinien nicht.

**Zentrale Konfiguration APIs**  
Security Hub CSPM-Operationen, die nur der vom Security Hub CSPM delegierte Security Hub CSPM-Administrator in der Heimatregion verwenden kann, um Konfigurationsrichtlinien für zentral verwaltete Konten zu verwalten. Zu den Vorgängen gehören:  
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`

**Kontospezifisch APIs**  
Security Hub CSPM-Operationen, mit denen Security Hub CSPM, Standards und Kontrollen auf einer bestimmten Basis aktiviert oder deaktiviert werden können. account-by-account Diese Operationen werden in jeder einzelnen Region verwendet.  
Selbstverwaltete Konten können kontospezifische Operationen verwenden, um ihre eigenen Einstellungen zu konfigurieren. Zentral verwaltete Konten können die folgenden kontospezifischen Vorgänge in der Heimatregion und verknüpften Regionen nicht verwenden. In diesen Regionen kann nur der delegierte Administrator zentral verwaltete Konten über zentrale Konfigurationsvorgänge und Konfigurationsrichtlinien konfigurieren.  
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
Um den Kontostatus zu überprüfen, *kann* der Besitzer eines zentral verwalteten Kontos `Get` beliebige `Describe` Operationen der Security Hub CSPM-API verwenden.  
Wenn Sie statt der zentralen Konfiguration die lokale Konfiguration oder die manuelle Kontoverwaltung verwenden, können Sie diese kontospezifischen Operationen verwenden.  
Selbstverwaltete Konten können auch AND-Operationen verwenden`*Invitations`. `*Members` Wir empfehlen jedoch, dass selbstverwaltete Konten diese Operationen nicht verwenden. Richtlinienzuordnungen können fehlschlagen, wenn ein Mitgliedskonto eigene Mitglieder hat, die Teil einer anderen Organisation sind als die des delegierten Administrators.

**Organisationseinheit (OU)**  
In AWS Organizations und Security Hub CSPM, ein Container für eine Gruppe von. AWS-Konten Eine Organisationseinheit (OU) kann auch andere enthalten OUs, sodass Sie eine Hierarchie erstellen können, die einem umgedrehten Baum ähnelt, mit einer übergeordneten Organisationseinheit an der Spitze und Verzweigungen OUs dieser Organisationseinheit, die nach unten reichen und in Konten enden, die Blätter des Baums sind. Eine Organisationseinheit kann genau eine übergeordnete Organisationseinheit haben, und jedes Organisationskonto kann Mitglied genau einer Organisationseinheit sein.  
Sie können OUs in AWS Organizations oder verwalten AWS Control Tower. Weitere Informationen finden Sie unter [Verwaltung von Organisationseinheiten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) im *AWS Organizations Benutzerhandbuch* oder [Verwaltung von Organisationen und Konten mit AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html) im *AWS Control Tower Benutzerhandbuch*.  
Der delegierte Administrator kann Konfigurationsrichtlinien bestimmten Konten oder dem Stammkonto zuordnen OUs, um alle Konten und OUs innerhalb einer Organisation abzudecken.

**Zentral verwaltet**  
Ein Ziel, das nur der delegierte Administrator mithilfe von Konfigurationsrichtlinien regionsübergreifend konfigurieren kann.  
Das delegierte Administratorkonto gibt an, ob ein Ziel zentral verwaltet wird. Der delegierte Administrator kann auch den Status eines Ziels von zentral verwaltet in selbstverwaltet ändern oder umgekehrt.

**Selbstverwaltet**  
Ein Ziel, das seine eigenen Security Hub CSPM-Einstellungen verwaltet. Ein selbstverwaltetes Ziel verwendet kontospezifische Operationen, um Security Hub CSPM für sich selbst in jeder Region separat zu konfigurieren. Dies steht im Gegensatz zu zentral verwalteten Zielen, die nur vom delegierten Administrator regionsübergreifend über Konfigurationsrichtlinien konfiguriert werden können.  
Das delegierte Administratorkonto gibt an, ob ein Ziel selbst verwaltet wird. Der delegierte Administrator kann selbstverwaltetes Verhalten auf ein Ziel anwenden. Alternativ kann ein Konto oder eine Organisationseinheit das selbstverwaltete Verhalten von einem Elternteil erben.  
Das delegierte Administratorkonto kann selbst ein selbstverwaltetes Konto sein. Das delegierte Administratorkonto kann den Status eines Ziels von selbstverwaltet in zentral verwaltet ändern oder umgekehrt.  


**Zuordnung von Konfigurationsrichtlinien**  
Eine Verknüpfung zwischen einer Konfigurationsrichtlinie und einem Konto, einer Organisationseinheit (OU) oder einem Stamm. Wenn eine Richtlinienzuordnung vorhanden ist, verwendet das Konto, die Organisationseinheit oder das Stammverzeichnis die in der Konfigurationsrichtlinie definierten Einstellungen. In einem der folgenden Fälle besteht eine Zuordnung:  
+ Wenn der delegierte Administrator eine Konfigurationsrichtlinie direkt auf ein Konto, eine Organisationseinheit oder einen Root-Benutzer anwendet
+ Wenn ein Konto oder eine Organisationseinheit eine Konfigurationsrichtlinie von einer übergeordneten Organisationseinheit oder der Stammorganisation erbt
Eine Zuordnung besteht, bis eine andere Konfiguration angewendet oder vererbt wird.

**Angewendete Konfigurationsrichtlinie**  
Eine Art von Zuordnung von Konfigurationsrichtlinien, bei der der delegierte Administrator eine Konfigurationsrichtlinie direkt auf Zielkonten oder das Stammkonto anwendet. OUs Ziele werden so konfiguriert, wie sie in der Konfigurationsrichtlinie definiert sind, und nur der delegierte Administrator kann ihre Konfiguration ändern. Wenn die Konfigurationsrichtlinie auf das Stammverzeichnis angewendet wird, wirkt sie sich auf alle Konten und OUs in der Organisation aus, die keine andere Konfiguration verwenden, und zwar entweder durch Anwendung oder Vererbung durch das nächstgelegene übergeordnete Unternehmen.  
Der delegierte Administrator kann eine selbstverwaltete Konfiguration auch auf bestimmte Konten oder das OUs Stammkonto anwenden.

**Geerbte Konfigurationsrichtlinie**  
Eine Art von Zuordnung von Konfigurationsrichtlinien, bei der ein Konto oder eine Organisationseinheit die Konfiguration der nächstgelegenen übergeordneten Organisationseinheit oder der Stammorganisation übernimmt. Wenn eine Konfigurationsrichtlinie nicht direkt auf ein Konto oder eine Organisationseinheit angewendet wird, erbt sie die Konfiguration der nächstgelegenen übergeordneten Organisation. Alle Elemente einer Richtlinie werden vererbt. Mit anderen Worten, ein Konto oder eine Organisationseinheit kann sich nicht dafür entscheiden, selektiv nur Teile einer Richtlinie zu erben. Wenn der nächstgelegene Elternteil selbst verwaltet wird, erbt das untergeordnete Konto oder die Organisationseinheit das selbstverwaltete Verhalten des Elternteils.   
Die Vererbung kann eine angewendete Konfiguration nicht außer Kraft setzen. Das heißt, wenn eine Konfigurationsrichtlinie oder eine selbstverwaltete Konfiguration direkt auf ein Konto oder eine Organisationseinheit angewendet wird, verwendet sie diese Konfiguration und erbt nicht die Konfiguration der übergeordneten Einheit.

**Root**  
In AWS Organizations und Security Hub CSPM, dem übergeordneten Knoten der obersten Ebene in einer Organisation. Wenn der delegierte Administrator eine Konfigurationsrichtlinie auf das Stammkonto anwendet, wird die Richtlinie allen Konten und OUs in der Organisation zugeordnet, sofern sie nicht durch Anwendung oder Vererbung eine andere Richtlinie verwenden oder als selbstverwaltetes Konto ausgewiesen sind. Wenn der Administrator das Stammverzeichnis als selbstverwaltetes Konto festlegt, werden alle Konten OUs in der Organisation selbst verwaltet, es sei denn, sie verwenden durch Anwendung oder Vererbung eine Konfigurationsrichtlinie. Wenn das Stammkonto selbst verwaltet wird und derzeit keine Konfigurationsrichtlinien existieren, behalten alle neuen Konten in der Organisation ihre aktuellen Einstellungen bei.  
Neue Konten, die einer Organisation beitreten, fallen unter das Stammkonto, bis sie einer bestimmten Organisationseinheit zugewiesen werden. Wenn ein neues Konto keiner Organisationseinheit zugewiesen ist, erbt es die Stammkonfiguration, es sei denn, der delegierte Administrator bestimmt es als selbstverwaltetes Konto.

# Aktivierung der zentralen Konfiguration in Security Hub CSPM
<a name="start-central-configuration"></a>

Das delegierte AWS Security Hub CSPM-Administratorkonto kann die zentrale Konfiguration verwenden, um Security Hub CSPM, Standards und Kontrollen für mehrere Konten und Organisationseinheiten () übergreifend zu konfigurieren. OUs AWS-Regionen

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unter. [Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md)

In diesem Abschnitt werden die Voraussetzungen für die zentrale Konfiguration und die ersten Schritte zur Verwendung dieser Konfiguration erläutert.

## Voraussetzungen für die zentrale Konfiguration
<a name="prerequisites-central-configuration"></a>

Bevor Sie die zentrale Konfiguration verwenden können, müssen Sie Security Hub CSPM in die Heimatregion integrieren AWS Organizations und eine Heimatregion festlegen. Wenn Sie die Security Hub CSPM-Konsole verwenden, sind diese Voraussetzungen im Opt-in-Workflow für die zentrale Konfiguration enthalten.

### In Organizations integrieren
<a name="orgs-integration-prereq"></a>

Sie müssen Security Hub CSPM und Organizations integrieren, um die zentrale Konfiguration verwenden zu können.

Um diese Dienste zu integrieren, erstellen Sie zunächst eine Organisation in Organizations. Über das Verwaltungskonto der Organizations bestimmen Sie dann ein delegiertes Security Hub-CSPM-Administratorkonto. Detaillierte Anweisungen finden Sie unter [Integration von Security Hub CSPM mit AWS Organizations](designate-orgs-admin-account.md).

**Stellen Sie sicher, dass Sie Ihren delegierten Administrator in Ihrer gewünschten Heimatregion angeben.** Wenn Sie die zentrale Konfiguration verwenden, wird derselbe delegierte Administrator automatisch auch in allen verknüpften Regionen eingerichtet. Das Organisationsverwaltungskonto *kann nicht* als delegiertes Administratorkonto festgelegt werden.

**Wichtig**  
Wenn Sie die zentrale Konfiguration verwenden, können Sie die Security Hub CSPM-Konsole oder Security Hub CSPM nicht verwenden, um das delegierte Administratorkonto APIs zu ändern oder zu entfernen. Wenn das Verwaltungskonto der Organizations verwendet wird AWS Organizations APIs , um den delegierten Security Hub CSPM-Administrator zu ändern oder zu entfernen, stoppt Security Hub CSPM automatisch die zentrale Konfiguration. Ihre Konfigurationsrichtlinien werden ebenfalls getrennt und gelöscht. Mitgliedskonten behalten die Konfiguration bei, die sie hatten, bevor der delegierte Administrator geändert oder entfernt wurde.

### Geben Sie eine Heimatregion an
<a name="home-region-prereq"></a>

Sie müssen eine Heimatregion angeben, um die zentrale Konfiguration verwenden zu können. Die Heimatregion ist die Region, von der aus der delegierte Administrator die Organisation konfiguriert.

**Anmerkung**  
Bei der Heimatregion kann es sich nicht um eine Region handeln, die als Opt-in-Region ausgewiesen AWS wurde. Eine Opt-in-Region ist standardmäßig deaktiviert. Eine Liste der Opt-in-Regionen finden Sie unter [Überlegungen vor der Aktivierung und Deaktivierung von Regionen im Referenzhandbuch](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) zur *AWS Kontoverwaltung*.

Optional können Sie eine oder mehrere verknüpfte Regionen angeben, die von der Heimatregion aus konfiguriert werden können.

Der delegierte Administrator kann Konfigurationsrichtlinien nur von der Heimatregion aus erstellen und verwalten. Konfigurationsrichtlinien werden in der Heimatregion und allen verknüpften Regionen wirksam. Sie können keine Konfigurationsrichtlinie erstellen, die nur für eine Teilmenge dieser Regionen gilt und nicht für andere. Eine Ausnahme bilden Kontrollen, die globale Ressourcen betreffen. Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub CSPM automatisch Kontrollen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Weitere Informationen finden Sie unter [Steuerungen, die globale Ressourcen verwenden](controls-to-disable.md#controls-to-disable-global-resources).

Die Heimatregion ist auch Ihre Security Hub-CSPM-Aggregationsregion, die Ergebnisse, Erkenntnisse und andere Daten aus verknüpften Regionen erhält.

Wenn Sie bereits eine Aggregationsregion für die regionsübergreifende Aggregation festgelegt haben, ist dies Ihre Standard-Heimatregion für die zentrale Konfiguration. Sie können die Heimatregion ändern, bevor Sie die zentrale Konfiguration verwenden, indem Sie Ihren aktuellen Suchaggregator löschen und einen neuen in der gewünschten Heimatregion erstellen. Ein Findingaggregator ist eine Security Hub-CSPM-Ressource, die die Heimatregion und verknüpfte Regionen spezifiziert.

Informationen zur Festlegung einer Heimatregion finden Sie in [den Schritten zum Einstellen](finding-aggregation-enable.md) einer Aggregationsregion. Wenn Sie bereits eine Heimatregion haben, können Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html)API aufrufen, um Details zu dieser Region zu sehen, einschließlich der Regionen, die derzeit mit dieser verknüpft sind.

## Anweisungen zur Aktivierung der zentralen Konfiguration
<a name="central-configuration-get-started"></a>

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die zentrale Konfiguration für Ihr Unternehmen zu aktivieren.

------
#### [ Security Hub CSPM console ]

**Um die zentrale Konfiguration (Konsole) zu aktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich **Einstellungen** und Konfiguration aus.** Wählen Sie dann **Zentrale Konfiguration starten** aus.

   Wenn Sie bei Security Hub CSPM einsteigen, wählen Sie **Gehe zu Security** Hub CSPM.

1. Wählen Sie auf der Seite **Delegierten Administrator benennen Ihr delegiertes Administratorkonto** aus oder geben Sie dessen Konto-ID ein. Falls zutreffend, empfehlen wir, denselben delegierten Administrator zu wählen, den Sie für andere AWS Sicherheits- und Compliance-Dienste eingerichtet haben. Wählen Sie Als **delegierten Administrator festlegen** aus.

1. Wählen Sie auf der Seite **Organisation zentralisieren** im Abschnitt **Regionen** Ihre Heimatregion aus. Sie müssen in der Heimatregion angemeldet sein, um fortzufahren. Wenn Sie bereits eine Aggregationsregion für die regionsübergreifende Aggregation festgelegt haben, wird diese als Heimatregion angezeigt. Um die Heimatregion zu ändern, wählen Sie **„Regionseinstellungen bearbeiten“**. Sie können dann Ihre bevorzugte Heimatregion auswählen und zu diesem Workflow zurückkehren.

1. Wählen Sie mindestens eine Region aus, um eine Verknüpfung mit der Heimatregion herzustellen. Wählen Sie optional aus, ob Sie future unterstützte Regionen automatisch mit der Heimatregion verknüpfen möchten. Die Regionen, die Sie hier auswählen, werden vom delegierten Administrator von der Heimatregion aus konfiguriert. Die Konfigurationsrichtlinien gelten in Ihrer Heimatregion und allen verknüpften Regionen.

1. Wählen Sie **Bestätigen und fortfahren**.

1.  Sie können jetzt die zentrale Konfiguration verwenden. Folgen Sie weiterhin den Anweisungen der Konsole, um Ihre erste Konfigurationsrichtlinie zu erstellen. Wenn Sie noch nicht bereit sind, eine Konfigurationsrichtlinie zu erstellen, wählen Sie **Ich bin noch nicht bereit zur Konfiguration**. Sie können später eine Richtlinie erstellen, indem Sie im Navigationsbereich **Einstellungen** und **Konfiguration** auswählen. Anweisungen zum Erstellen einer Konfigurationsrichtlinie finden Sie unter[Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md).

------
#### [ Security Hub CSPM API ]

**So aktivieren Sie die zentrale Konfiguration (API)**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API mit den Anmeldeinformationen des delegierten Administratorkontos von der Heimatregion aus auf.

1. Stellen Sie das `AutoEnable` Feld auf ein. `false`

1. Stellen Sie das `ConfigurationType` Feld im `OrganizationConfiguration` Objekt auf ein`CENTRAL`. Diese Aktion hat folgende Auswirkungen:
   + Benennt das anrufende Konto als delegierten Security Hub-CSPM-Administrator in allen verknüpften Regionen.
   + Aktiviert Security Hub CSPM im delegierten Administratorkonto in allen verknüpften Regionen.
   + Benennt das anrufende Konto als delegierten Security Hub CSPM-Administrator für neue und bestehende Konten, die Security Hub CSPM verwenden und zur Organisation gehören. Dies geschieht in der Heimatregion und allen verknüpften Regionen. Das anrufende Konto wird nur dann als delegierter Administrator für neue Organisationskonten eingerichtet, wenn sie einer Konfigurationsrichtlinie zugeordnet sind, für die Security Hub CSPM aktiviert ist. Das anrufende Konto wird nur dann als delegierter Administrator für bestehende Organisationskonten eingerichtet, wenn Security Hub CSPM bereits aktiviert ist.
   + Stellt [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable)`false`in allen verknüpften Regionen und [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards)auf `NONE` in der Heimatregion und allen verknüpften Regionen ein. Diese Parameter sind in der Startseite und den verknüpften Regionen nicht relevant, wenn Sie die zentrale Konfiguration verwenden, aber Sie können Security Hub CSPM und Standardsicherheitsstandards in Organisationskonten mithilfe von Konfigurationsrichtlinien automatisch aktivieren.

1. Sie können jetzt die zentrale Konfiguration verwenden. Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um Security Hub CSPM in Ihrer Organisation zu konfigurieren. Anweisungen zur Erstellung einer Konfigurationsrichtlinie finden Sie unter. [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md)

**Beispiel für eine API-Anfrage:**

```
{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
```

------
#### [ AWS CLI ]

**Um die zentrale Konfiguration zu aktivieren (AWS CLI)**

1. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)Befehl mit den Anmeldeinformationen des delegierten Administratorkontos in der Heimatregion aus.

1. Schließen Sie den Parameter `no-auto-enable` ein.

1. Stellen Sie das `ConfigurationType` Feld im `organization-configuration` Objekt auf `CENTRAL` ein. Diese Aktion hat folgende Auswirkungen:
   + Benennt das anrufende Konto als delegierten Security Hub-CSPM-Administrator in allen verknüpften Regionen.
   + Aktiviert Security Hub CSPM im delegierten Administratorkonto in allen verknüpften Regionen.
   + Benennt das anrufende Konto als delegierten Security Hub CSPM-Administrator für neue und bestehende Konten, die Security Hub CSPM verwenden und zur Organisation gehören. Dies geschieht in der Heimatregion und allen verknüpften Regionen. Das anrufende Konto wird nur dann als delegierter Administrator für neue Organisationskonten eingerichtet, wenn sie einer Konfigurationsrichtlinie zugeordnet sind, für die Security Hub aktiviert ist. Das anrufende Konto wird nur dann als delegierter Administrator für bestehende Organisationskonten eingerichtet, wenn Security Hub CSPM bereits aktiviert ist.
   + Legt die Option zur automatischen Aktivierung [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)in allen verknüpften Regionen und auf `NONE` in der Heimatregion und allen verknüpften Regionen fest [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options). Diese Parameter sind in der Startseite und den verknüpften Regionen nicht relevant, wenn Sie die zentrale Konfiguration verwenden, aber Sie können Security Hub CSPM und Standardsicherheitsstandards in Organisationskonten mithilfe von Konfigurationsrichtlinien automatisch aktivieren.

1. Sie können jetzt die zentrale Konfiguration verwenden. Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um Security Hub CSPM in Ihrer Organisation zu konfigurieren. Anweisungen zur Erstellung einer Konfigurationsrichtlinie finden Sie unter. [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md)

**Beispielbefehl:**

```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```

------

# Zentral verwaltete Ziele versus selbstverwaltete Ziele
<a name="central-configuration-management-type"></a>

*Wenn Sie die zentrale Konfiguration aktivieren, kann der delegierte AWS Security Hub CSPM-Administrator jedes Organisationskonto, jede Organisationseinheit (OU) und den Stamm als *zentral* verwaltet oder selbstverwaltet festlegen.* Der Verwaltungstyp eines Ziels bestimmt, wie Sie seine Security Hub CSPM-Einstellungen angeben können.

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unter. [Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md)

In diesem Abschnitt werden die Unterschiede zwischen einer zentral verwalteten und einer selbstverwalteten Bezeichnung sowie die Auswahl des Verwaltungstyps eines Kontos, einer Organisationseinheit oder eines Stammkontos erläutert.

**Selbstverwaltet**  
Der Besitzer eines selbstverwalteten Kontos, einer Organisationseinheit oder eines Stammkontos muss die Einstellungen für jedes Konto separat konfigurieren. AWS-Region Der delegierte Administrator kann keine Konfigurationsrichtlinien für selbstverwaltete Ziele erstellen.

**Zentral verwaltet**  
Nur der delegierte Security Hub CSPM-Administrator kann Einstellungen für zentral verwaltete Konten oder das Stammkonto in der Heimatregion und den verknüpften Regionen konfigurieren. OUs Konfigurationsrichtlinien können zentral verwalteten Konten und zugeordnet werden. OUs

Der delegierte Administrator kann den Status eines Ziels zwischen selbstverwaltetem und zentral verwaltetem ändern. Standardmäßig werden alle Konten und Organisationseinheiten selbst verwaltet, wenn Sie die zentrale Konfiguration über die Security Hub CSPM-API starten. In der Konsole hängt der Verwaltungstyp von Ihrer ersten Konfigurationsrichtlinie ab. Konten und Konten OUs , die Sie Ihrer ersten Richtlinie zuordnen, werden zentral verwaltet. Andere Konten und OUs werden standardmäßig selbst verwaltet.

Wenn Sie einem zuvor selbstverwalteten Konto eine Konfigurationsrichtlinie zuordnen, haben die Richtlinieneinstellungen Vorrang vor der Bezeichnung für selbstverwaltetes Konto. Das Konto wird zentral verwaltet und übernimmt die Einstellungen, die in der Konfigurationsrichtlinie enthalten sind.

Wenn Sie ein zentral verwaltetes Konto in ein selbstverwaltetes Konto ändern, bleiben die Einstellungen, die zuvor über eine Konfigurationsrichtlinie auf das Konto angewendet wurden, bestehen. Beispielsweise könnte ein zentral verwaltetes Konto zunächst mit einer Richtlinie verknüpft werden, die Security Hub CSPM aktiviert, AWS Foundational Security Best Practices aktiviert und .1 deaktiviert. CloudTrail Wenn Sie das Konto dann als selbstverwaltet kennzeichnen, bleiben alle Einstellungen unverändert. Der Kontoinhaber kann die Einstellungen für das Konto in Zukunft jedoch unabhängig ändern.

Kinderkonten und OUs können selbstverwaltetes Verhalten von einem selbstverwalteten Elternteil erben, genauso wie Kinderkonten und Konfigurationsrichtlinien von einem zentral verwalteten Elternteil erben OUs können. Weitere Informationen finden Sie unter [Richtlinienverknüpfung durch Anwendung und Vererbung](configuration-policies-overview.md#policy-association).

Ein selbstverwaltetes Konto oder eine Organisationseinheit kann keine Konfigurationsrichtlinie von einem übergeordneten Knoten oder vom Stammknoten erben. Wenn Sie beispielsweise möchten, dass alle Konten und OUs in Ihrer Organisation eine Konfigurationsrichtlinie vom Stammverzeichnis erben, müssen Sie den Verwaltungstyp für selbstverwaltete Knoten auf zentral verwaltete Knoten ändern.

## Optionen zum Konfigurieren von Einstellungen in selbstverwalteten Konten
<a name="self-managed-settings"></a>

Selbstverwaltete Konten müssen ihre eigenen Einstellungen in jeder Region separat konfigurieren.

Besitzer von selbstverwalteten Konten können die folgenden Operationen der Security Hub CSPM-API in jeder Region aufrufen, um ihre Einstellungen zu konfigurieren:
+ `EnableSecurityHub`und `DisableSecurityHub` um den Security Hub CSPM-Dienst zu aktivieren oder zu deaktivieren (wenn ein selbstverwaltetes Konto über einen delegierten Security Hub CSPM-Administrator verfügt, muss der Administrator die Kontozuweisung aufheben, bevor [der Kontoinhaber Security Hub CSPM deaktivieren](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) kann).
+ `BatchEnableStandards`und `BatchDisableStandards` um Standards zu aktivieren oder zu deaktivieren
+ `BatchUpdateStandardsControlAssociations`oder `UpdateStandardsControl` um Steuerungen zu aktivieren oder zu deaktivieren

Selbstverwaltete Konten können auch `*Invitations` `*Members` AND-Operationen verwenden. Wir empfehlen jedoch, dass selbstverwaltete Konten diese Operationen nicht verwenden. Richtlinienzuordnungen können fehlschlagen, wenn ein Mitgliedskonto eigene Mitglieder hat, die Teil einer anderen Organisation sind als die des delegierten Administrators.

Eine Beschreibung der Security Hub CSPM API-Aktionen finden Sie in der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html) API-Referenz.

Selbstverwaltete Konten können auch die Security Hub CSPM-Konsole verwenden oder AWS CLI ihre Einstellungen in jeder Region konfigurieren.

Selbstverwaltete Konten können keine mit Security Hub APIs zusammenhängenden CSPM-Konfigurationsrichtlinien und Richtlinienzuordnungen aufrufen. Nur der delegierte Administrator kann die zentrale Konfiguration aufrufen APIs und Konfigurationsrichtlinien verwenden, um zentral verwaltete Konten zu konfigurieren.

## Auswahl des Verwaltungstyps eines Ziels
<a name="choose-management-type"></a>

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein Konto oder eine Organisationseinheit in AWS Security Hub CSPM als zentral verwaltet oder selbstverwaltet zu kennzeichnen.

------
#### [ Security Hub CSPM console ]

**Um den Verwaltungstyp eines Kontos oder einer Organisationseinheit auszuwählen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. Wählen Sie **Konfiguration**.

1. Wählen Sie auf der Registerkarte **Organisation** das Zielkonto oder die Organisationseinheit aus. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie auf der Seite **Konfiguration definieren** als **Verwaltungstyp** die Option **Zentral verwaltet** aus, wenn der delegierte Administrator das Zielkonto oder die Organisationseinheit konfigurieren soll. Wählen Sie dann „**Spezifische Richtlinie anwenden**“ aus, wenn Sie dem Ziel eine bestehende Konfigurationsrichtlinie zuordnen möchten. Wählen **Sie Von meiner Organisation übernehmen**, wenn Sie möchten, dass das Ziel die Konfiguration seines engsten übergeordneten Unternehmens erbt. Wählen Sie **Selbstverwaltet**, wenn Sie möchten, dass das Konto oder die Organisationseinheit ihre eigenen Einstellungen konfiguriert.

1. Wählen Sie **Weiter** aus. Überprüfen Sie Ihre Änderungen und wählen Sie **Speichern**.

------
#### [ Security Hub CSPM API ]

**Um den Verwaltungstyp eines Kontos oder einer Organisationseinheit auszuwählen**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

1. Geben Sie für das `ConfigurationPolicyIdentifier` Feld an, `SELF_MANAGED_SECURITY_HUB` ob das Konto oder die Organisationseinheit ihre eigenen Einstellungen steuern soll. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der entsprechenden Konfigurationsrichtlinie an, wenn Sie möchten, dass der delegierte Administrator die Einstellungen für das Konto oder die Organisationseinheit steuert.

1. Geben Sie für das `Target` Feld die AWS-Konto ID, OU-ID oder Root-ID des Ziels ein, dessen Verwaltungstyp Sie ändern möchten. Dadurch wird das selbstverwaltete Verhalten oder die angegebene Konfigurationsrichtlinie dem Ziel zugeordnet. Untergeordnete Konten des Ziels erben möglicherweise die selbstverwaltete Verhaltens- oder Konfigurationsrichtlinie.

**Beispiel für eine API-Anfrage zur Benennung eines selbstverwalteten Kontos:**

```
{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
```

------
#### [ AWS CLI ]

**Um den Verwaltungstyp eines Kontos oder einer Organisationseinheit auszuwählen**

1. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

1. Geben Sie `configuration-policy-identifier` im Feld an, `SELF_MANAGED_SECURITY_HUB` ob das Konto oder die Organisationseinheit ihre eigenen Einstellungen steuern soll. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der entsprechenden Konfigurationsrichtlinie an, wenn Sie möchten, dass der delegierte Administrator die Einstellungen für das Konto oder die Organisationseinheit steuert.

1. Geben Sie für das `target` Feld die AWS-Konto ID, OU-ID oder Root-ID des Ziels ein, dessen Verwaltungstyp Sie ändern möchten. Dadurch wird das selbstverwaltete Verhalten oder die angegebene Konfigurationsrichtlinie dem Ziel zugeordnet. Untergeordnete Konten des Ziels erben möglicherweise die selbstverwaltete Verhaltens- oder Konfigurationsrichtlinie.

**Beispielbefehl zur Benennung eines selbstverwalteten Kontos:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```

------

# So funktionieren Konfigurationsrichtlinien in Security Hub CSPM
<a name="configuration-policies-overview"></a>

Der delegierte AWS Security Hub CSPM-Administrator kann Konfigurationsrichtlinien erstellen, um Security Hub CSPM, Sicherheitsstandards und Sicherheitskontrollen für eine Organisation zu konfigurieren. Nach der Erstellung einer Konfigurationsrichtlinie kann der delegierte Administrator sie bestimmten Konten, Organisationseinheiten () OUs oder dem Stamm zuordnen. Die Richtlinie wird dann für die angegebenen Konten oder das Stammkonto wirksam. OUs

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unter[Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

Dieser Abschnitt bietet einen detaillierten Überblick über die Konfigurationsrichtlinien.

## Überlegungen zu Richtlinien
<a name="configuration-policies-considerations"></a>

Bevor Sie eine Konfigurationsrichtlinie in Security Hub CSPM erstellen, sollten Sie die folgenden Details berücksichtigen.
+ **Konfigurationsrichtlinien müssen verknüpft werden, damit sie wirksam** werden. Nachdem Sie eine Konfigurationsrichtlinie erstellt haben, können Sie sie einem oder mehreren Konten, Organisationseinheiten (OUs) oder dem Stamm zuordnen. Eine Konfigurationsrichtlinie kann Konten, direkt oder OUs durch Vererbung von einer übergeordneten Organisationseinheit zugeordnet werden.
+ **Ein Konto oder eine Organisationseinheit kann nur einer Konfigurationsrichtlinie zugeordnet werden**. Um widersprüchliche Einstellungen zu vermeiden, kann ein Konto oder eine Organisationseinheit jeweils nur einer Konfigurationsrichtlinie zugeordnet werden. Alternativ kann ein Konto oder eine Organisationseinheit selbst verwaltet werden.
+ Die **Konfigurationsrichtlinien sind vollständig** — Die Konfigurationsrichtlinien bieten eine vollständige Spezifikation der Einstellungen. Beispielsweise kann ein Kinderkonto keine Einstellungen für einige Steuerelemente aus einer Richtlinie und Einstellungen für andere Steuerelemente aus einer anderen Richtlinie akzeptieren. Wenn Sie eine Richtlinie einem Kinderkonto zuordnen, stellen Sie sicher, dass die Richtlinie alle Einstellungen festlegt, die das Kinderkonto verwenden soll.
+ **Konfigurationsrichtlinien können nicht rückgängig gemacht werden** — Es gibt keine Möglichkeit, eine Konfigurationsrichtlinie rückgängig zu machen, nachdem Sie sie Konten oder zugeordnet haben. OUs Wenn Sie beispielsweise eine Konfigurationsrichtlinie, die CloudWatch Steuerelemente deaktiviert, einem bestimmten Konto zuordnen und diese Richtlinie dann aufheben, sind die CloudWatch Steuerelemente in diesem Konto weiterhin deaktiviert. Um die CloudWatch Kontrollen wieder zu aktivieren, können Sie das Konto einer neuen Richtlinie zuordnen, die die Kontrollen aktiviert. Alternativ können Sie das Konto auf Selbstverwaltung umstellen und alle CloudWatch Steuerelemente im Konto aktivieren.
+ **Konfigurationsrichtlinien gelten in Ihrer Heimatregion und allen verknüpften Regionen** — Eine Konfigurationsrichtlinie wirkt sich auf alle zugehörigen Konten in der Heimatregion und auf alle verknüpften Regionen aus. Sie können keine Konfigurationsrichtlinie erstellen, die nur in einigen dieser Regionen wirksam ist und in anderen nicht. Eine Ausnahme bilden [Steuerelemente, die globale Ressourcen verwenden](controls-to-disable.md#controls-to-disable-global-resources). Security Hub CSPM deaktiviert automatisch Kontrollen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen.

  Regionen, die am oder nach dem 20. März 2019 AWS eingeführt wurden, werden als Opt-in-Regionen bezeichnet. Sie müssen eine solche Region für ein Konto aktivieren, bevor dort eine Konfigurationsrichtlinie wirksam wird. Das Verwaltungskonto für Organizations kann Opt-in-Regionen für ein Mitgliedskonto aktivieren. Anweisungen zur Aktivierung von Opt-in-Regionen finden [Sie im *Referenzhandbuch zur Kontoverwaltung unter Geben Sie an, welche Regionen für AWS-Regionen Ihr AWS Konto* verwendet werden können](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable).

  Wenn Ihre Richtlinie eine Steuerung konfiguriert, die in der Heimatregion oder einer oder mehreren verknüpften Regionen nicht verfügbar ist, überspringt Security Hub CSPM die Kontrollkonfiguration in nicht verfügbaren Regionen, wendet die Konfiguration jedoch in Regionen an, in denen die Steuerung verfügbar ist. Ihnen fehlt der Versicherungsschutz für ein Steuerelement, das in der Heimatregion oder einer der verknüpften Regionen nicht verfügbar ist.
+ **Konfigurationsrichtlinien sind Ressourcen** — Als Ressource hat eine Konfigurationsrichtlinie einen Amazon-Ressourcennamen (ARN) und eine Universally Unique Identifier (UUID). Der ARN verwendet das folgende Format:`arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID`. Eine selbstverwaltete Konfiguration hat keinen ARN oder UUID. Der Bezeichner für eine selbstverwaltete Konfiguration lautet. `SELF_MANAGED_SECURITY_HUB`

## Arten von Konfigurationsrichtlinien
<a name="policy-types"></a>

Jede Konfigurationsrichtlinie legt die folgenden Einstellungen fest:
+ Aktivieren oder deaktivieren Sie Security Hub CSPM.
+ Aktivieren Sie einen oder mehrere [Sicherheitsstandards](standards-reference.md).
+ Geben Sie an, welche [Sicherheitskontrollen](securityhub-controls-reference.md) für alle aktivierten Standards aktiviert sind. Sie können dies tun, indem Sie eine Liste bestimmter Steuerelemente bereitstellen, die aktiviert werden sollten, und Security Hub CSPM deaktiviert alle anderen Steuerelemente, einschließlich neuer Steuerelemente, wenn sie veröffentlicht werden. Alternativ können Sie eine Liste mit bestimmten Steuerelementen bereitstellen, die deaktiviert werden sollten, und Security Hub CSPM aktiviert alle anderen Kontrollen, einschließlich neuer Steuerelemente, wenn sie veröffentlicht werden.
+ [Passen Sie optional die Parameter](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) für ausgewählte aktivierte Steuerelemente für alle aktivierten Standards an.

Zentrale Konfigurationsrichtlinien beinhalten keine AWS Config Rekordereinstellungen. Sie müssen die Aufzeichnung für die erforderlichen Ressourcen separat aktivieren AWS Config und aktivieren, damit Security Hub CSPM Kontrollergebnisse generieren kann. Weitere Informationen finden Sie unter [Überlegungen vor der Aktivierung und Konfiguration AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub CSPM automatisch Kontrollen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren.

Wenn ein aktiviertes Steuerelement, das globale Ressourcen umfasst, in der Heimatregion nicht unterstützt wird, versucht Security Hub CSPM, das Steuerelement in einer verknüpften Region zu aktivieren, in der das Steuerelement unterstützt wird. Bei zentraler Konfiguration fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion oder einer der verknüpften Regionen nicht verfügbar ist.

Eine Liste der Kontrollen, die globale Ressourcen betreffen, finden Sie unter[Steuerungen, die globale Ressourcen verwenden](controls-to-disable.md#controls-to-disable-global-resources).

### Empfohlene Konfigurationsrichtlinie
<a name="recommended-policy"></a>

Wenn Sie zum *ersten Mal eine Konfigurationsrichtlinie in der Security Hub CSPM-Konsole* erstellen, haben Sie die Möglichkeit, die von Security Hub CSPM empfohlene Richtlinie auszuwählen.

Die empfohlene Richtlinie aktiviert Security Hub CSPM, den Standard AWS Foundational Security Best Practices (FSBP) und alle vorhandenen und neuen FSBP-Steuerelemente. Steuerelemente, die Parameter akzeptieren, verwenden die Standardwerte. Die empfohlene Richtlinie gilt für Root-Benutzer (alle Konten und OUs sowohl neue als auch bestehende). Nachdem Sie die empfohlene Richtlinie für Ihre Organisation erstellt haben, können Sie sie über das delegierte Administratorkonto ändern. Sie können beispielsweise zusätzliche Standards oder Kontrollen aktivieren oder bestimmte FSBP-Steuerelemente deaktivieren. Anweisungen zum Ändern einer Konfigurationsrichtlinie finden Sie unter[Aktualisierung der Konfigurationsrichtlinien](update-policy.md).

### Benutzerdefinierte Konfigurationsrichtlinie
<a name="custom-policy"></a>

Anstelle der empfohlenen Richtlinie kann der delegierte Administrator bis zu 20 benutzerdefinierte Konfigurationsrichtlinien erstellen. Sie können Ihrer gesamten Organisation eine einzelne benutzerdefinierte Richtlinie oder verschiedene benutzerdefinierte Richtlinien verschiedenen Konten zuordnen und OUs. Für eine benutzerdefinierte Konfigurationsrichtlinie geben Sie Ihre gewünschten Einstellungen an. Sie können beispielsweise eine benutzerdefinierte Richtlinie erstellen, die FSBP, den Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 und alle Kontrollen in diesen Standards außer Amazon Redshift Redshift-Steuerelementen aktiviert. Die Granularität, die Sie in benutzerdefinierten Konfigurationsrichtlinien verwenden, hängt vom beabsichtigten Umfang der Sicherheitsabdeckung in Ihrem Unternehmen ab.

**Anmerkung**  
Sie können dem delegierten Administratorkonto keine Konfigurationsrichtlinie zuordnen, die Security Hub CSPM deaktiviert. Eine solche Richtlinie kann mit anderen Konten verknüpft werden, überspringt jedoch die Zuordnung zum delegierten Administrator. Das delegierte Administratorkonto behält seine aktuelle Konfiguration bei.

Nachdem Sie eine benutzerdefinierte Konfigurationsrichtlinie erstellt haben, können Sie zur empfohlenen Konfigurationsrichtlinie wechseln, indem Sie Ihre Konfigurationsrichtlinie entsprechend der empfohlenen Konfiguration aktualisieren. Sie sehen jedoch nicht die Möglichkeit, die empfohlene Konfigurationsrichtlinie in der Security Hub CSPM-Konsole zu erstellen, nachdem Ihre erste Richtlinie erstellt wurde.

## Richtlinienverknüpfung durch Anwendung und Vererbung
<a name="policy-association"></a>

Wenn Sie sich zum ersten Mal für die zentrale Konfiguration entscheiden, hat Ihre Organisation keine Zuordnungen und verhält sich genauso wie vor der Anmeldung. Der delegierte Administrator kann dann Verknüpfungen zwischen einer Konfigurationsrichtlinie oder einem selbstverwalteten Verhalten und Konten oder dem Stammkonto herstellen. OUs *Verknüpfungen können durch *Anwendung* oder Vererbung hergestellt werden.*

Über das delegierte Administratorkonto können Sie eine Konfigurationsrichtlinie direkt auf ein Konto, eine Organisationseinheit oder das Stammkonto anwenden. Alternativ kann der delegierte Administrator einem Konto, einer Organisationseinheit oder dem Stammkonto direkt eine selbstverwaltete Bezeichnung zuweisen.

In Ermangelung einer direkten Anwendung erbt ein Konto oder eine Organisationseinheit die Einstellungen der nächstgelegenen übergeordneten Organisation, die über eine Konfigurationsrichtlinie oder ein selbstverwaltetes Verhalten verfügt. Wenn das engste Elternteil mit einer Konfigurationsrichtlinie verknüpft ist, erbt das Kind diese Richtlinie und kann nur vom delegierten Administrator aus der Heimatregion konfiguriert werden. Wenn der nächstgelegene Elternteil selbst verwaltet wird, erbt das Kind das selbstverwaltete Verhalten und kann in jedem Fall seine eigenen Einstellungen angeben. AWS-Region

Die Anwendung hat Vorrang vor der Vererbung. Mit anderen Worten, die Vererbung setzt eine Konfigurationsrichtlinie oder eine selbstverwaltete Bestimmung, die der delegierte Administrator direkt auf ein Konto oder eine Organisationseinheit angewendet hat, nicht außer Kraft.

Wenn Sie eine Konfigurationsrichtlinie direkt auf ein selbstverwaltetes Konto anwenden, hat die Richtlinie Vorrang vor der Bezeichnung für selbstverwaltete Konten. Das Konto wird zentral verwaltet und übernimmt die Einstellungen, die in der Konfigurationsrichtlinie enthalten sind.

Wir empfehlen, eine Konfigurationsrichtlinie direkt auf das Stammverzeichnis anzuwenden. Wenn Sie eine Richtlinie auf das Stammverzeichnis anwenden, erben neue Konten, die Ihrer Organisation beitreten, automatisch die Stammrichtlinie, sofern Sie sie nicht einer anderen Richtlinie zuordnen oder sie als selbstverwaltet kennzeichnen.

Einem Konto oder einer Organisationseinheit kann jeweils nur eine Konfigurationsrichtlinie zugeordnet werden, entweder durch Anwendung oder Vererbung. Dadurch sollen widersprüchliche Einstellungen vermieden werden.

Das folgende Diagramm zeigt, wie die Anwendung und Vererbung von Richtlinien in einer zentralen Konfiguration funktionieren.

![\[Anwenden und Vererben von Security Hub CSPM-Konfigurationsrichtlinien\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)


In diesem Beispiel wurde auf einen grün hervorgehobenen Knoten eine Konfigurationsrichtlinie angewendet. Auf einen blau hervorgehobenen Knoten wurde keine Konfigurationsrichtlinie angewendet. Ein gelb hervorgehobener Knoten wurde als selbstverwaltet eingestuft. Jedes Konto und jede Organisationseinheit verwendet die folgende Konfiguration:
+ **OU:Root (Grün)** — Diese Organisationseinheit verwendet die Konfigurationsrichtlinie, die auf sie angewendet wurde.
+ **ou:Prod (Blue)** — Diese OU erbt die Konfigurationsrichtlinie von OU:Root.
+ **ou:Applications (Green)** — Diese Organisationseinheit verwendet die Konfigurationsrichtlinie, die auf sie angewendet wurde.
+ **Konto 1 (Grün)** — Dieses Konto verwendet die Konfigurationsrichtlinie, die darauf angewendet wurde.
+ **Konto 2 (Blau)** — Dieses Konto erbt die Konfigurationsrichtlinie von OU:Applications.
+ **ou:Dev (Gelb)** — Diese Organisationseinheit wird selbst verwaltet.
+ **Konto 3 (Grün)** — Dieses Konto verwendet die Konfigurationsrichtlinie, die darauf angewendet wurde.
+ **Konto 4 (Blau)** — Dieses Konto erbt das selbstverwaltete Verhalten von OU:Dev.
+ **ou:Test (Blue)** — Dieses Konto erbt die Konfigurationsrichtlinie von ou:Root.
+ **Konto 5 (Blau)** — Dieses Konto erbt die Konfigurationsrichtlinie von ou:Root, da das unmittelbar übergeordnete Konto, ou:Test, keiner Konfigurationsrichtlinie zugeordnet ist.

## Testen einer Konfigurationsrichtlinie
<a name="test-policy"></a>

Um sicherzustellen, dass Sie verstehen, wie Konfigurationsrichtlinien funktionieren, empfehlen wir, eine Richtlinie zu erstellen und sie einem Testkonto oder einer Organisationseinheit zuzuordnen.

**Um eine Konfigurationsrichtlinie zu testen**

1. Erstellen Sie eine benutzerdefinierte Konfigurationsrichtlinie und stellen Sie sicher, dass die angegebenen Einstellungen für die Aktivierung, Standards und Kontrollen von Security Hub CSPM korrekt sind. Detaillierte Anweisungen finden Sie unter [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md).

1. Wenden Sie die Konfigurationsrichtlinie auf ein Testkonto oder eine Organisationseinheit an, die keine Kinderkonten hat oder. OUs

1. Stellen Sie sicher, dass das Testkonto oder die Organisationseinheit die Konfigurationsrichtlinie in Ihrer Heimatregion und allen verknüpften Regionen erwartungsgemäß verwendet. Sie können auch überprüfen, ob alle anderen Konten und OUs in Ihrer Organisation weiterhin selbst verwaltet werden, und Sie können ihre eigenen Einstellungen in jeder Region ändern.

Nachdem Sie eine Konfigurationsrichtlinie in einem einzelnen Konto oder einer Organisationseinheit getestet haben, können Sie sie anderen Konten zuordnen und OUs.

# Konfigurationsrichtlinien erstellen und zuordnen
<a name="create-associate-policy"></a>

Das delegierte AWS Security Hub CSPM-Administratorkonto kann Konfigurationsrichtlinien erstellen, die festlegen, wie Security Hub CSPM, Standards und Kontrollen in bestimmten Konten und Organisationseinheiten konfiguriert werden (). OUs Eine Konfigurationsrichtlinie wird erst wirksam, wenn der delegierte Administrator sie mindestens einem Konto oder einer Organisationseinheit () OUs oder dem Stamm zuordnet. Der delegierte Administrator kann eine selbstverwaltete Konfiguration auch Konten oder dem Stammverzeichnis OUs zuordnen.

Wenn Sie zum ersten Mal eine Konfigurationsrichtlinie erstellen, empfehlen wir, diese zuerst zu überprüfen. [So funktionieren Konfigurationsrichtlinien in Security Hub CSPM](configuration-policies-overview.md)

Wählen Sie Ihre bevorzugte Zugriffsmethode und folgen Sie den Schritten zum Erstellen und Zuordnen einer Konfigurationsrichtlinie oder einer selbstverwalteten Konfiguration. Wenn Sie die Security Hub CSPM-Konsole verwenden, können Sie eine Konfiguration mehreren Konten oder OUs gleichzeitig zuordnen. Wenn Sie die Security Hub CSPM API oder verwenden AWS CLI, können Sie in jeder Anfrage nur einem Konto oder einer Organisationseinheit eine Konfiguration zuordnen.

**Anmerkung**  
Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub CSPM automatisch Kontrollen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren.  
Wenn ein aktiviertes Steuerelement, das globale Ressourcen umfasst, in der Heimatregion nicht unterstützt wird, versucht Security Hub CSPM, das Steuerelement in einer verknüpften Region zu aktivieren, in der das Steuerelement unterstützt wird. Bei zentraler Konfiguration fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion oder einer der verknüpften Regionen nicht verfügbar ist.  
Eine Liste der Steuerelemente, die globale Ressourcen betreffen, finden Sie unter[Steuerungen, die globale Ressourcen verwenden](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Security Hub CSPM console ]

**So erstellen Sie Konfigurationsrichtlinien und ordnen sie zu**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. **Wählen Sie im Navigationsbereich **Konfiguration** und dann die Registerkarte Richtlinien aus.** Wählen Sie dann **Richtlinie erstellen** aus.

1. Wenn **Sie zum ersten Mal eine Konfigurationsrichtlinie erstellen, werden auf der Seite Organisation konfigurieren** unter **Konfigurationstyp** drei Optionen angezeigt. Wenn Sie bereits mindestens eine Konfigurationsrichtlinie erstellt haben, wird nur die Option **Benutzerdefinierte Richtlinie** angezeigt.
   + Wählen Sie **Die AWS empfohlene Security Hub CSPM-Konfiguration für mein gesamtes Unternehmen verwenden**, um unsere empfohlene Richtlinie zu verwenden. Die empfohlene Richtlinie aktiviert Security Hub CSPM in allen Unternehmenskonten, aktiviert den Standard AWS Foundational Security Best Practices (FSBP) und aktiviert alle neuen und vorhandenen FSBP-Steuerelemente. Die Steuerelemente verwenden Standardparameterwerte.
   + Wählen Sie **Ich bin noch nicht bereit zur Konfiguration**, um später eine Konfigurationsrichtlinie zu erstellen.
   + Wählen Sie **Benutzerdefinierte Richtlinie**, um eine benutzerdefinierte Konfigurationsrichtlinie zu erstellen. Geben Sie an, ob Security Hub CSPM aktiviert oder deaktiviert werden soll, welche Standards aktiviert werden sollen und welche Kontrollen für diese Standards aktiviert werden sollen. Geben Sie optional [benutzerdefinierte Parameterwerte](custom-control-parameters.md) für ein oder mehrere aktivierte Steuerelemente an, die benutzerdefinierte Parameter unterstützen.

1. Wählen Sie im Abschnitt **Konten** die Zielkonten oder das Stammkonto aus, OUs für das Ihre Konfigurationsrichtlinie gelten soll.
   + Wählen Sie **Alle Konten** aus, wenn Sie die Konfigurationsrichtlinie auf das Stammkonto anwenden möchten. Dies schließt alle Konten und Konten OUs in der Organisation ein, auf die keine andere Richtlinie angewendet oder vererbt wurde.
   + Wählen Sie **Bestimmte Konten** aus, wenn Sie die Konfigurationsrichtlinie auf bestimmte Konten anwenden möchten oder OUs. Geben Sie das Konto ein IDs, oder wählen Sie die Konten und OUs aus der Organisationsstruktur aus. Sie können die Richtlinie bei der Erstellung auf maximal 15 Ziele (Konten oder Root) anwenden. OUs Wenn Sie eine größere Anzahl angeben möchten, bearbeiten Sie Ihre Richtlinie nach der Erstellung und wenden Sie sie auf weitere Ziele an.
   + Wählen Sie **Nur der delegierte Administrator**, um die Konfigurationsrichtlinie auf das aktuelle delegierte Administratorkonto anzuwenden.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie auf der Seite **Überprüfen und Anwenden** die Details Ihrer Konfigurationsrichtlinie. Wählen Sie dann **Richtlinie erstellen und anwenden** aus. In Ihrer Heimatregion und den verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft, die dieser Konfigurationsrichtlinie zugeordnet sind. Konten können über eine Anwendung oder durch Vererbung von einem übergeordneten Knoten mit der Konfigurationsrichtlinie verknüpft werden. Untergeordnete Konten und OUs die angewendeten Ziele erben automatisch diese Konfigurationsrichtlinie, sofern sie nicht ausdrücklich ausgeschlossen wurden, sie selbst verwaltet werden oder eine andere Konfigurationsrichtlinie verwenden.

------
#### [ Security Hub CSPM API ]

**Um Konfigurationsrichtlinien zu erstellen und zuzuordnen**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

1. Geben Sie für `Name` einen eindeutigen Namen für die Konfigurationsrichtlinie ein. Geben Sie optional für `Description` eine Beschreibung der Konfigurationsrichtlinie an.

1. Geben Sie für das `ServiceEnabled` Feld an, ob Security Hub CSPM in dieser Konfigurationsrichtlinie aktiviert oder deaktiviert werden soll.

1. Geben Sie für das `EnabledStandardIdentifiers` Feld an, welche Security Hub CSPM-Standards Sie in dieser Konfigurationsrichtlinie aktivieren möchten.

1. Geben Sie für das `SecurityControlsConfiguration` Objekt an, welche Steuerelemente Sie in dieser Konfigurationsrichtlinie aktivieren oder deaktivieren möchten. Wählen Sie `EnabledSecurityControlIdentifiers` aus, dass die angegebenen Steuerelemente aktiviert sind. Andere Steuerelemente, die Teil Ihrer aktivierten Standards sind (einschließlich neu veröffentlichter Steuerelemente), sind deaktiviert. Wenn Sie `DisabledSecurityControlIdentifiers` diese Option wählen, sind die angegebenen Steuerelemente deaktiviert. Andere Steuerelemente, die Teil Ihrer aktivierten Standards sind (einschließlich neu veröffentlichter Steuerelemente), sind aktiviert.

1. Geben Sie optional für das `SecurityControlCustomParameters` Feld aktivierte Steuerelemente an, für die Sie Parameter anpassen möchten. Geben Sie `CUSTOM` das `ValueType` Feld und den benutzerdefinierten Parameterwert für das `Value` Feld an. Der Wert muss dem richtigen Datentyp entsprechen und innerhalb der von Security Hub CSPM angegebenen gültigen Bereiche liegen. Nur ausgewählte Steuerelemente unterstützen benutzerdefinierte Parameterwerte. Weitere Informationen finden Sie unter [Grundlegendes zu den Steuerungsparametern in Security Hub CSPM](custom-control-parameters.md).

1. Um Ihre Konfigurationsrichtlinie auf Konten anzuwenden oder OUs rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

1. Geben Sie für das `ConfigurationPolicyIdentifier` Feld den Amazon-Ressourcennamen (ARN) oder die Universally Unique Identifier (UUID) der Richtlinie ein. Der ARN und die UUID werden von der `CreateConfigurationPolicy` API zurückgegeben. Bei einer selbstverwalteten Konfiguration entspricht das `ConfigurationPolicyIdentifier` Feld. `SELF_MANAGED_SECURITY_HUB`

1. Geben Sie für das `Target` Feld die Organisationseinheit, das Konto oder die Root-ID an, für die diese Konfigurationsrichtlinie gelten soll. Sie können in jeder API-Anfrage nur ein Ziel angeben. Untergeordnete Konten und Konten OUs des ausgewählten Ziels erben diese Konfigurationsrichtlinie automatisch, sofern sie nicht selbst verwaltet werden oder eine andere Konfigurationsrichtlinie verwenden.

**Beispiel für eine API-Anfrage zur Erstellung einer Konfigurationsrichtlinie:**

```
{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Beispiel für eine API-Anfrage zum Zuordnen einer Konfigurationsrichtlinie:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```

------
#### [ AWS CLI ]

**Um Konfigurationsrichtlinien zu erstellen und zuzuordnen**

1. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

1. Geben Sie für `name` einen eindeutigen Namen für die Konfigurationsrichtlinie ein. Geben Sie optional für `description` eine Beschreibung der Konfigurationsrichtlinie an.

1. Geben Sie für das `ServiceEnabled` Feld an, ob Security Hub CSPM in dieser Konfigurationsrichtlinie aktiviert oder deaktiviert werden soll.

1. Geben Sie für das `EnabledStandardIdentifiers` Feld an, welche Security Hub CSPM-Standards Sie in dieser Konfigurationsrichtlinie aktivieren möchten.

1. Geben Sie für das `SecurityControlsConfiguration` Feld an, welche Steuerelemente Sie in dieser Konfigurationsrichtlinie aktivieren oder deaktivieren möchten. Wählen Sie `EnabledSecurityControlIdentifiers` aus, dass die angegebenen Steuerelemente aktiviert sind. Andere Steuerelemente, die Teil Ihrer aktivierten Standards sind (einschließlich neu veröffentlichter Steuerelemente), sind deaktiviert. Wenn Sie `DisabledSecurityControlIdentifiers` diese Option wählen, sind die angegebenen Steuerelemente deaktiviert. Andere Steuerelemente, die Ihren aktivierten Standards entsprechen (einschließlich neu veröffentlichter Steuerelemente), sind aktiviert.

1. Geben Sie optional für das `SecurityControlCustomParameters` Feld aktivierte Steuerelemente an, für die Sie Parameter anpassen möchten. Geben Sie `CUSTOM` das `ValueType` Feld und den benutzerdefinierten Parameterwert für das `Value` Feld an. Der Wert muss dem richtigen Datentyp entsprechen und innerhalb der von Security Hub CSPM angegebenen gültigen Bereiche liegen. Nur ausgewählte Steuerelemente unterstützen benutzerdefinierte Parameterwerte. Weitere Informationen finden Sie unter [Grundlegendes zu den Steuerungsparametern in Security Hub CSPM](custom-control-parameters.md).

1. Um Ihre Konfigurationsrichtlinie auf Konten anzuwenden OUs, oder führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

1. Geben Sie für das `configuration-policy-identifier` Feld den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie ein. Dieser ARN und diese ID werden vom `create-configuration-policy` Befehl zurückgegeben.

1. Geben Sie für das `target` Feld die Organisationseinheit, das Konto oder die Root-ID an, für die diese Konfigurationsrichtlinie gelten soll. Sie können jedes Mal, wenn Sie den Befehl ausführen, nur ein Ziel angeben. Untergeordnete Objekte des ausgewählten Ziels erben diese Konfigurationsrichtlinie automatisch, sofern sie nicht selbst verwaltet werden oder eine andere Konfigurationsrichtlinie verwenden.

**Beispielbefehl zum Erstellen einer Konfigurationsrichtlinie:**

```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

**Beispielbefehl zum Zuordnen einer Konfigurationsrichtlinie:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```

------

Die `StartConfigurationPolicyAssociation` API gibt ein Feld namens zurück`AssociationStatus`. In diesem Feld erfahren Sie, ob eine Richtlinienverknüpfung noch aussteht oder ob sie erfolgreich oder nicht erfolgreich ist. Es kann bis zu 24 Stunden dauern, bis sich der Status von `PENDING` zu `SUCCESS` oder ändert`FAILURE`. Weitere Informationen zum Zuordnungsstatus finden Sie unter[Überprüfen Sie den Zuordnungsstatus einer Konfigurationsrichtlinie](view-policy.md#configuration-association-status).

# Status und Details der Konfigurationsrichtlinien überprüfen
<a name="view-policy"></a>

Der delegierte AWS Security Hub CSPM-Administrator kann die Konfigurationsrichtlinien für eine Organisation und deren Details einsehen. Dazu gehört, mit welchen Konten und Organisationseinheiten (OUs) eine Richtlinie verknüpft ist.

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unter[Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Ihre Konfigurationsrichtlinien einzusehen.

------
#### [ Security Hub CSPM console ]

**So zeigen Sie die Konfigurationsrichtlinien an (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. **Wählen Sie im Navigationsbereich **Einstellungen und Konfiguration aus.****

1. Wählen Sie die Registerkarte **Richtlinien**, um einen Überblick über Ihre Konfigurationsrichtlinien zu erhalten.

1. Wählen Sie eine Konfigurationsrichtlinie aus und klicken Sie **auf Details anzeigen**, um weitere Informationen zu dieser Richtlinie anzuzeigen, einschließlich der Konten, mit denen OUs sie verknüpft ist.

------
#### [ Security Hub CSPM API ]

Um eine zusammenfassende Liste all Ihrer Konfigurationsrichtlinien anzuzeigen, verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html)Betrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)Befehl aus. Das delegierte Security Hub CSPM-Administratorkonto sollte den Vorgang in der Heimatregion aufrufen.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

Verwenden Sie den Vorgang, um Details zu einer bestimmten Konfigurationsrichtlinie anzuzeigen. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) Wenn Sie den verwenden AWS CLI, führen Sie den aus [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). Das delegierte Administratorkonto sollte den Vorgang in der Heimatregion aufrufen. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie ein, deren Details Sie sehen möchten.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html)Vorgang, um eine zusammenfassende Liste all Ihrer Konfigurationsrichtlinien und ihrer Kontozuordnungen anzuzeigen. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)Befehl aus. Das delegierte Administratorkonto sollte den Vorgang in der Heimatregion aufrufen. Optional können Sie Paginierungsparameter angeben oder die Ergebnisse nach einer bestimmten Richtlinien-ID, einem Zuordnungstyp oder einem Zuordnungsstatus filtern.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)Vorgang, um Verknüpfungen für ein bestimmtes Konto anzuzeigen. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)Befehl aus. Das delegierte Administratorkonto sollte den Vorgang in der Heimatregion aufrufen. Geben Sie für `target` die Kontonummer, OU-ID oder Root-ID an.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## Überprüfen Sie den Zuordnungsstatus einer Konfigurationsrichtlinie
<a name="configuration-association-status"></a>

Die folgenden API-Operationen für die zentrale Konfiguration geben ein Feld mit dem Namen zurück`AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

Dieses Feld wird sowohl zurückgegeben, wenn es sich bei der zugrunde liegenden Konfiguration um eine Konfigurationsrichtlinie handelt, als auch wenn es sich um ein selbstverwaltetes Verhalten handelt.

Der Wert von `AssociationStatus` gibt an, ob eine Richtlinienzuweisung für ein bestimmtes Konto noch aussteht oder ob sie erfolgreich oder nicht erfolgreich ist. Es kann bis zu 24 Stunden dauern, bis sich der Status von `PENDING` zu `SUCCESS` oder ändert`FAILED`. Ein Status von `SUCCESS` bedeutet, dass alle in der Konfigurationsrichtlinie angegebenen Einstellungen dem Konto zugeordnet sind. Ein Status von `FAILED` bedeutet, dass eine oder mehrere in der Konfigurationsrichtlinie angegebene Einstellungen dem Konto nicht zugeordnet werden konnten. Trotz eines `FAILED` Status konnte das Konto gemäß der Richtlinie teilweise konfiguriert werden. Sie könnten beispielsweise versuchen, ein Konto mit einer Konfigurationsrichtlinie zu verknüpfen, die Security Hub CSPM aktiviert, AWS Foundational Security Best Practices aktiviert und .1 deaktiviert. CloudTrail Die ersten beiden Einstellungen könnten erfolgreich sein, aber die Einstellung CloudTrail .1 könnte fehlschlagen. In diesem Beispiel lautet der Zuordnungsstatus, `FAILED` obwohl einige Einstellungen korrekt konfiguriert wurden.

Der Zuordnungsstatus einer übergeordneten Organisationseinheit oder der Stammorganisation hängt vom Status ihrer untergeordneten Organisationseinheiten ab. Wenn der Assoziationsstatus aller Kinder lautet`SUCCESS`, ist der Assoziationsstatus des Elternteils`SUCCESS`. Wenn der Assoziationsstatus eines oder mehrerer Kinder lautet`FAILED`, ist der Assoziationsstatus des Elternteils`FAILED`.

Der Wert von `AssociationStatus` hängt vom Assoziationsstatus der Police in allen relevanten Regionen ab. Wenn die Assoziation in der Heimatregion und allen verbundenen Regionen erfolgreich ist, `AssociationStatus` ist `SUCCESS` der Wert von. Wenn die Zuordnung in einer oder mehreren dieser Regionen fehlschlägt, `AssociationStatus` ist `FAILED` der Wert von.

Das folgende Verhalten wirkt sich auch auf den Wert von aus`AssociationStatus`:
+ Handelt es sich bei dem Ziel um eine übergeordnete Organisationseinheit oder um die Stammorganisation, hat sie nur dann den `AssociationStatus` Wert „Ein“ `SUCCESS` oder „`FAILED`nur“, wenn alle untergeordneten Organisationseinheiten den `FAILED` Status „`SUCCESS`Oder“ haben. Wenn sich der Zuordnungsstatus eines untergeordneten Kontos oder einer Organisationseinheit ändert (z. B. wenn eine verknüpfte Region hinzugefügt oder entfernt wird), nachdem Sie das übergeordnete Konto mit einer Konfiguration verknüpft haben, wird durch die Änderung der Zuordnungsstatus des übergeordneten Kontos nicht aktualisiert, es sei denn, Sie rufen die `StartConfigurationPolicyAssociation` API erneut auf.
+ Handelt es sich bei dem Ziel um ein Konto, hat es den `AssociationStatus` Wert „Von“ `SUCCESS` oder `FAILED` nur, wenn die Zuordnung ein Ergebnis von `SUCCESS` oder `FAILED` in der Heimatregion und allen verknüpften Regionen hat. Wenn sich der Zuordnungsstatus eines Zielkontos ändert (z. B. wenn eine verknüpfte Region hinzugefügt oder entfernt wird), nachdem Sie es zum ersten Mal mit einer Konfiguration verknüpft haben, wird sein Zuordnungsstatus aktualisiert. Durch die Änderung wird der Zuordnungsstatus des übergeordneten Elements jedoch nicht aktualisiert, es sei denn, Sie rufen die `StartConfigurationPolicyAssociation` API erneut auf.

Wenn Sie eine neue verknüpfte Region hinzufügen, repliziert Security Hub CSPM Ihre vorhandenen Verknüpfungen, die sich in einem `PENDING``SUCCESS`, oder `FAILED` Bundesstaat der neuen Region befinden.

Selbst wenn der Zuordnungsstatus lautet`SUCCESS`, kann der Aktivierungsstatus eines Standards, der Teil der Richtlinie ist, in einen unvollständigen Status übergehen. In diesem Fall kann Security Hub CSPM keine Ergebnisse für die Kontrollen des Standards generieren. Weitere Informationen finden Sie unter [Den Status eines Standards überprüfen](enable-standards.md#standard-subscription-status).

## Behebung eines Zuordnungsfehlers
<a name="failed-association-reasons"></a>

In AWS Security Hub CSPM kann eine Zuordnung von Konfigurationsrichtlinien aus den folgenden häufigen Gründen fehlschlagen.
+ Das **Organisationsverwaltungskonto ist kein Mitglied** — Wenn Sie dem Organisationsverwaltungskonto eine Konfigurationsrichtlinie zuordnen möchten, muss AWS Security Hub CSPM für dieses Konto bereits aktiviert sein. Dadurch wird das Verwaltungskonto zu einem Mitgliedskonto in der Organisation.
+ **AWS Config ist nicht aktiviert oder nicht richtig konfiguriert** — Um Standards in einer Konfigurationsrichtlinie zu aktivieren, AWS Config muss sie aktiviert und konfiguriert sein, um relevante Ressourcen aufzuzeichnen.
+ **Die Verknüpfung muss über ein delegiertes Administratorkonto** erfolgen — Sie können eine Richtlinie nur Zielkonten zuordnen und OUs wenn Sie mit dem delegierten Security Hub CSPM-Administratorkonto angemeldet sind.
+ **Verbindung muss von der Heimatregion aus** erfolgen — Sie können eine Richtlinie nur Zielkonten zuordnen und nur, OUs wenn Sie in Ihrer Heimatregion angemeldet sind.
+ **Opt-in-Region nicht aktiviert** — Die Richtlinienverknüpfung schlägt für ein Mitgliedskonto oder eine Organisationseinheit in einer verknüpften Region fehl, wenn es sich um eine Opt-in-Region handelt, die der delegierte Administrator nicht aktiviert hat. Sie können es erneut versuchen, nachdem Sie die Region über das delegierte Administratorkonto aktiviert haben.
+ **Mitgliedskonto gesperrt** — Die Richtlinienverknüpfung schlägt fehl, wenn Sie versuchen, eine Richtlinie mit einem gesperrten Mitgliedskonto zu verknüpfen.

# Aktualisierung der Konfigurationsrichtlinien
<a name="update-policy"></a>

Nach der Erstellung einer Konfigurationsrichtlinie kann das delegierte AWS Security Hub CSPM-Administratorkonto die Richtliniendetails und Richtlinienzuordnungen aktualisieren. Wenn die Richtliniendetails aktualisiert werden, verwenden Konten, die der Konfigurationsrichtlinie zugeordnet sind, automatisch die aktualisierte Richtlinie.

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unter[Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

Der delegierte Administrator kann die folgenden Richtlinieneinstellungen aktualisieren:
+ Aktivieren oder deaktivieren Sie Security Hub CSPM.
+ Aktivieren Sie einen oder mehrere [Sicherheitsstandards](standards-reference.md).
+ Geben Sie an, welche [Sicherheitskontrollen](securityhub-controls-reference.md) für alle aktivierten Standards aktiviert sind. Sie können dies tun, indem Sie eine Liste bestimmter Steuerelemente bereitstellen, die aktiviert werden sollten, und Security Hub CSPM deaktiviert alle anderen Steuerelemente, einschließlich neuer Steuerelemente, wenn sie veröffentlicht werden. Alternativ können Sie eine Liste mit bestimmten Steuerelementen bereitstellen, die deaktiviert werden sollten, und Security Hub CSPM aktiviert alle anderen Kontrollen, einschließlich neuer Steuerelemente, wenn sie veröffentlicht werden.
+ [Passen Sie optional die Parameter](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) für ausgewählte aktivierte Steuerelemente für alle aktivierten Standards an.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Aktualisieren einer Konfigurationsrichtlinie.

**Anmerkung**  
Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub CSPM automatisch Kontrollen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren.  
Wenn ein aktiviertes Steuerelement, das globale Ressourcen umfasst, in der Heimatregion nicht unterstützt wird, versucht Security Hub CSPM, das Steuerelement in einer verknüpften Region zu aktivieren, in der das Steuerelement unterstützt wird. Bei zentraler Konfiguration fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion oder einer der verknüpften Regionen nicht verfügbar ist.  
Eine Liste der Steuerelemente, die globale Ressourcen betreffen, finden Sie unter[Steuerungen, die globale Ressourcen verwenden](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Console ]

**So aktualisieren Sie die Konfigurationsrichtlinien**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. **Wählen Sie im Navigationsbereich **Einstellungen und Konfiguration aus.****

1. Wählen Sie die Registerkarte **Policies**.

1. Wählen Sie die Konfigurationsrichtlinie aus, die Sie bearbeiten möchten, und wählen Sie **Bearbeiten** aus. Falls gewünscht, bearbeiten Sie die Richtlinieneinstellungen. Lassen Sie diesen Abschnitt unverändert, wenn Sie die Richtlinieneinstellungen unverändert lassen möchten.

1. Wählen Sie **Weiter**. Falls gewünscht, bearbeiten Sie die Richtlinienverknüpfungen. Lassen Sie diesen Abschnitt unverändert, wenn Sie die Richtlinienverknüpfungen unverändert lassen möchten. Sie können die Richtlinie bei der Aktualisierung maximal 15 Zielen (Konten oder Root) zuordnen oder deren Zuordnung aufheben. OUs 

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie Ihre Änderungen und wählen Sie **Speichern und anwenden**. In Ihrer Heimatregion und den verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft, die dieser Konfigurationsrichtlinie zugeordnet sind. Konten können über eine Anwendung oder durch Vererbung von einem übergeordneten Knoten mit einer Konfigurationsrichtlinie verknüpft werden.

------
#### [ API ]

**Um die Konfigurationsrichtlinien zu aktualisieren**

1. Um die Einstellungen in einer Konfigurationsrichtlinie zu aktualisieren, rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

1. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, die Sie aktualisieren möchten. 

1. Geben Sie aktualisierte Werte für die Felder unter ein`ConfigurationPolicy`. Optional können Sie auch einen Grund für die Aktualisierung angeben.

1. Um neue Verknüpfungen für diese Konfigurationsrichtlinie hinzuzufügen, rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf. Um eine oder mehrere aktuelle Verknüpfungen zu entfernen, rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

1. Geben Sie für das `ConfigurationPolicyIdentifier` Feld den ARN oder die ID der Konfigurationsrichtlinie ein, deren Verknüpfungen Sie aktualisieren möchten.

1. Geben Sie für das `Target` Feld die Konten oder die Root-ID ein, die Sie zuordnen oder trennen möchten. OUs Diese Aktion setzt vorherige Richtlinienzuordnungen für die angegebenen OUs Konten außer Kraft.

**Anmerkung**  
Wenn Sie die `UpdateConfigurationPolicy` API aufrufen, führt Security Hub CSPM eine vollständige Listenersetzung für die Felder`EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, und durch. `SecurityControlCustomParameters` Geben Sie bei jedem Aufruf dieser API die vollständige Liste der Standards an, die Sie aktivieren möchten, sowie die vollständige Liste der Steuerelemente, die Sie aktivieren oder deaktivieren möchten, und für die Sie die Parameter anpassen möchten.

**Beispiel für eine API-Anfrage zur Aktualisierung einer Konfigurationsrichtlinie:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

------
#### [ AWS CLI ]

**Um die Konfigurationsrichtlinien zu aktualisieren**

1. Um die Einstellungen in einer Konfigurationsrichtlinie zu aktualisieren, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

1.  Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, die Sie aktualisieren möchten.

1. Geben Sie aktualisierte Werte für die Felder unter ein`configuration-policy`. Optional können Sie auch einen Grund für die Aktualisierung angeben.

1. Um neue Verknüpfungen für diese Konfigurationsrichtlinie hinzuzufügen, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus. Um eine oder mehrere aktuelle Verknüpfungen zu entfernen, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

1. Geben Sie für das `configuration-policy-identifier` Feld den ARN oder die ID der Konfigurationsrichtlinie ein, deren Verknüpfungen Sie aktualisieren möchten.

1. Geben Sie für das `target` Feld die Konten oder die Root-ID ein, die Sie zuordnen oder trennen möchten. OUs Diese Aktion setzt vorherige Richtlinienzuordnungen für die angegebenen OUs Konten außer Kraft.

**Anmerkung**  
Wenn Sie den `update-configuration-policy` Befehl ausführen, führt Security Hub CSPM eine vollständige Listenersetzung für die Felder`EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, und `SecurityControlCustomParameters` durch. Geben Sie bei jeder Ausführung dieses Befehls die vollständige Liste der Standards an, die Sie aktivieren möchten, sowie die vollständige Liste der Steuerelemente, die Sie aktivieren oder deaktivieren möchten, und für die Sie die Parameter anpassen möchten.

**Beispielbefehl zum Aktualisieren einer Konfigurationsrichtlinie:**

```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

------

Die `StartConfigurationPolicyAssociation` API gibt ein Feld namens zurück`AssociationStatus`. In diesem Feld erfahren Sie, ob eine Richtlinienverknüpfung noch aussteht oder ob sie erfolgreich oder nicht erfolgreich ist. Es kann bis zu 24 Stunden dauern, bis sich der Status von `PENDING` zu `SUCCESS` oder ändert`FAILURE`. Weitere Informationen zum Zuordnungsstatus finden Sie unter[Überprüfen Sie den Zuordnungsstatus einer Konfigurationsrichtlinie](view-policy.md#configuration-association-status).

# Löschen von Konfigurationsrichtlinien
<a name="delete-policy"></a>

Nach der Erstellung einer Konfigurationsrichtlinie kann der delegierte AWS Security Hub CSPM-Administrator sie löschen. Alternativ kann der delegierte Administrator die Richtlinie beibehalten, sie jedoch von bestimmten Konten oder Organisationseinheiten (OUs) oder vom Stamm trennen. Anweisungen zum Aufheben der Zuordnung zu einer Richtlinie finden Sie unter. [Eine Konfiguration von ihren Zielen trennen](disassociate-policy.md)

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unter. [Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md)

In diesem Abschnitt wird erklärt, wie Konfigurationsrichtlinien gelöscht werden.

Wenn Sie eine Konfigurationsrichtlinie löschen, ist sie für Ihre Organisation nicht mehr vorhanden. Zielkonten und der Organisationsstamm können die Konfigurationsrichtlinie nicht mehr verwenden. OUs Ziele, die mit einer gelöschten Konfigurationsrichtlinie verknüpft waren, erben die Konfigurationsrichtlinie des nächstgelegenen übergeordneten Objekts oder werden selbst verwaltet, wenn das nächstgelegene übergeordnete Objekt selbst verwaltet wird. Wenn Sie möchten, dass ein Ziel eine andere Konfiguration verwendet, können Sie das Ziel einer neuen Konfigurationsrichtlinie zuordnen. Weitere Informationen finden Sie unter [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md).

Wir empfehlen, mindestens eine Konfigurationsrichtlinie zu erstellen und mit Ihrer Organisation zu verknüpfen, um einen angemessenen Sicherheitsschutz zu gewährleisten.

Bevor Sie eine Konfigurationsrichtlinie löschen können, müssen Sie die Zuordnung der Richtlinie zu allen Konten oder dem Stammkonto OUs aufheben, für das sie derzeit gilt.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Löschen einer Konfigurationsrichtlinie.

------
#### [ Console ]

**So löschen Sie eine Konfigurationsrichtlinie**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. **Wählen Sie im Navigationsbereich **Einstellungen und Konfiguration aus.****

1. Wählen Sie die Registerkarte **Policies**. Wählen Sie die Konfigurationsrichtlinie aus, die Sie löschen möchten, und wählen Sie **Löschen** aus. Wenn die Konfigurationsrichtlinie noch mit Konten oder verknüpft ist OUs, werden Sie aufgefordert, die Richtlinie zunächst von diesen Zielen zu trennen, bevor Sie sie löschen können.

1. Überprüfen Sie die Bestätigungsnachricht. Geben Sie ein **confirm** und wählen Sie **Löschen**.

------
#### [ API ]

**So löschen Sie eine Konfigurationsrichtlinie**

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, die Sie löschen möchten. Wenn Sie eine `ConflictException` Fehlermeldung erhalten, gilt die Konfigurationsrichtlinie weiterhin für Konten oder OUs in Ihrer Organisation. Um den Fehler zu beheben, trennen Sie die Konfigurationsrichtlinie von diesen Konten oder OUs bevor Sie versuchen, sie zu löschen.

**Beispiel für eine API-Anfrage zum Löschen einer Konfigurationsrichtlinie:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```

------
#### [ AWS CLI ]

**So löschen Sie eine Konfigurationsrichtlinie**

Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

 Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, die Sie löschen möchten. Wenn Sie eine `ConflictException` Fehlermeldung erhalten, gilt die Konfigurationsrichtlinie weiterhin für Konten oder OUs in Ihrer Organisation. Um den Fehler zu beheben, trennen Sie die Konfigurationsrichtlinie von diesen Konten oder OUs bevor Sie versuchen, sie zu löschen.

```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Eine Konfiguration von ihren Zielen trennen
<a name="disassociate-policy"></a>

Über das delegierte AWS Security Hub CSPM-Administratorkonto können Sie die Zuordnung einer Konfigurationsrichtlinie oder einer selbstverwalteten Konfiguration zu einem Konto, einer Organisationseinheit oder einem Root-Konto aufheben. Durch die Trennung der Zuordnung wird die Richtlinie für die future Verwendung beibehalten, bestehende Verknüpfungen zu bestimmten Konten oder dem Stammkonto werden jedoch entfernt. Sie können nur eine direkt angewendete Konfiguration trennen, keine vererbte Konfiguration. OUs Um eine geerbte Konfiguration zu ändern, können Sie eine Konfigurationsrichtlinie oder ein selbstverwaltetes Verhalten auf das betroffene Konto oder die betroffene Organisationseinheit anwenden. Sie können auch eine neue Konfigurationsrichtlinie, die Ihre gewünschten Änderungen enthält, auf das nächstgelegene übergeordnete Objekt anwenden.

Durch die Trennung der Zuordnung *wird eine Konfigurationsrichtlinie nicht* gelöscht. Die Richtlinie wird in Ihrem Konto gespeichert, sodass Sie sie mit anderen Zielen in Ihrer Organisation verknüpfen können. Anweisungen zum Löschen einer Konfigurationsrichtlinie finden Sie unter[Löschen von Konfigurationsrichtlinien](delete-policy.md). Wenn die Trennung abgeschlossen ist, erbt ein betroffenes Ziel die Konfigurationsrichtlinie oder das selbstverwaltete Verhalten des nächstgelegenen übergeordneten Ziels. Wenn es keine vererbbare Konfiguration gibt, behält ein Ziel die Einstellungen bei, die es vor der Trennung hatte, wird aber selbst verwaltet.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein Konto, eine Organisationseinheit oder einen Root-Benutzer von der aktuellen Konfiguration zu trennen.

------
#### [ Console ]

**Um ein Konto oder eine Organisationseinheit von der aktuellen Konfiguration zu trennen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. **Wählen Sie im Navigationsbereich **Einstellungen und Konfiguration aus.****

1. Wählen Sie auf der Registerkarte **Organizations** das Konto, die Organisationseinheit oder das Stammverzeichnis aus, das Sie von der aktuellen Konfiguration trennen möchten. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie auf der Seite **Konfiguration definieren** für **Verwaltung** die Option **Anwendete Richtlinie** aus, wenn Sie möchten, dass der delegierte Administrator Richtlinien direkt auf das Ziel anwenden kann. Wählen Sie **Vererbt**, wenn Sie möchten, dass das Ziel die Konfiguration seines nächsten übergeordneten Objekts erbt. In beiden Fällen kontrolliert der delegierte Administrator die Einstellungen für das Ziel. Wählen Sie **Selbstverwaltet**, wenn Sie möchten, dass das Konto oder die Organisationseinheit ihre eigenen Einstellungen steuert.

1. Nachdem Sie Ihre Änderungen überprüft haben, wählen Sie **Weiter** und **Anwenden**. Diese Aktion überschreibt bestehende Konfigurationen aller Konten oder Konten OUs , die sich im Gültigkeitsbereich befinden, falls diese Konfigurationen mit Ihrer aktuellen Auswahl in Konflikt stehen.

------
#### [ API ]

**Um ein Konto oder eine Organisationseinheit von der aktuellen Konfiguration zu trennen**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

1.  Geben Sie für `ConfigurationPolicyIdentifier` den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, deren Zuordnung Sie aufheben möchten. Geben Sie dieses Feld an, `SELF_MANAGED_SECURITY_HUB` um die Zuordnung zu selbstverwaltetem Verhalten aufzuheben.

1.  Geben Sie für `Target` die Konten oder das Stammkonto an OUs, das Sie von dieser Konfigurationsrichtlinie trennen möchten.

**Beispiel für eine API-Anfrage zum Trennen der Zuordnung zu einer Konfigurationsrichtlinie:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
```

------
#### [ AWS CLI ]

**Um ein Konto oder eine Organisationseinheit von der aktuellen Konfiguration zu trennen**

1. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html)Befehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

1.  Geben Sie für `configuration-policy-identifier` den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, deren Zuordnung Sie aufheben möchten. Geben Sie dieses Feld an, `SELF_MANAGED_SECURITY_HUB` um die Zuordnung zu selbstverwaltetem Verhalten aufzuheben.

1.  Geben Sie für `target` die Konten oder das Stammkonto an OUs, das Sie von dieser Konfigurationsrichtlinie trennen möchten.

**Beispielbefehl zum Trennen der Zuordnung einer Konfigurationsrichtlinie:**

```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```

------

# Konfiguration eines Standards oder einer Steuerung im Kontext
<a name="central-configuration-in-context"></a>

Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) in AWS Security Hub CSPM verwenden, kann der delegierte Security Hub CSPM-Administrator Konfigurationsrichtlinien erstellen, die festlegen, wie Security Hub CSPM, Sicherheitsstandards und Sicherheitskontrollen für eine Organisation konfiguriert werden. Der delegierte Administrator kann Richtlinien bestimmten Konten und Organisationseinheiten (OU) zuordnen. Die Richtlinien gelten in Ihrer Heimatregion und allen verknüpften Regionen. Der delegierte Administrator kann die Konfigurationsrichtlinien bei Bedarf aktualisieren.

Auf der Security Hub CSPM-Konsole kann der delegierte Administrator die Konfigurationsrichtlinien auf zwei Arten aktualisieren: von der **Konfigurationsseite** aus oder im Kontext mit bestehenden Workflows. Letzteres kann von Vorteil sein, da Sie anhand der Sicherheitsergebnisse herausfinden können, welche Standards und Kontrollen für Ihre Umgebung am relevantesten sind, und diese gleichzeitig konfigurieren können.

Die kontextabhängige Konfiguration ist nur auf der Security Hub CSPM-Konsole verfügbar. Programmgesteuert muss der delegierte Administrator den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)Betrieb der Security Hub CSPM-API aufrufen, um die Konfiguration bestimmter Standards oder Kontrollen in der Organisation zu ändern.

Gehen Sie wie folgt vor, um einen Security Hub CSPM-Standard oder eine kontextbezogene Steuerung zu konfigurieren.

**So konfigurieren Sie einen Standard oder ein kontextbezogenes Steuerelement (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. Wählen Sie im Navigationsbereich eine der folgenden Optionen:
   + Um einen Standard zu konfigurieren, wählen Sie **Sicherheitsstandards** und dann einen bestimmten Standard aus.
   + Um ein Steuerelement zu konfigurieren, wählen Sie **Controls** und wählen Sie ein bestimmtes Steuerelement aus.

1. Die Konsole listet Ihre vorhandenen Security Hub CSPM-Konfigurationsrichtlinien und den Status des ausgewählten Standards oder Steuerelements in jeder Richtlinie auf. Wählen Sie in jeder vorhandenen Konfigurationsrichtlinie die Optionen aus, um den Standard oder die Steuerung zu aktivieren oder zu deaktivieren. Bei Steuerungen können Sie auch wählen, ob Sie die [Steuerparameter](custom-control-parameters.md) anpassen möchten. Sie können während der kontextbezogenen Konfiguration keine neue Richtlinie erstellen. Um eine neue Richtlinie zu erstellen, müssen Sie zur **Konfigurationsseite** gehen, die Registerkarte **Richtlinien** und dann **Richtlinie erstellen** auswählen.

1. Nachdem Sie Ihre Änderungen vorgenommen haben, wählen Sie **Weiter**.

1. Überprüfen Sie Ihre Änderungen und wählen Sie **Anwenden**. Die Updates betreffen alle Konten OUs , die mit einer geänderten Konfigurationsrichtlinie verknüpft sind. Die Updates werden auch in der Heimatregion und allen verknüpften Regionen wirksam.

# Deaktivierung der zentralen Konfiguration in Security Hub CSPM
<a name="stop-central-configuration"></a>

Wenn Sie die zentrale Konfiguration in AWS Security Hub CSPM deaktivieren, verliert der delegierte Administrator die Möglichkeit, Security Hub CSPM, Sicherheitsstandards und Sicherheitskontrollen für mehrere AWS-Konten Organisationseinheiten () und zu konfigurieren. OUs AWS-Regionen Stattdessen müssen Sie die meisten Einstellungen für jedes Konto in jeder Region separat konfigurieren.

**Wichtig**  
Bevor Sie die zentrale Konfiguration deaktivieren können, müssen Sie zuerst [Ihre Konten und](disassociate-policy.md) ihre aktuelle Konfiguration OUs trennen, unabhängig davon, ob es sich dabei um eine Konfigurationsrichtlinie oder ein selbstverwaltetes Verhalten handelt.  
Bevor Sie die zentrale Konfiguration deaktivieren können, müssen Sie auch [vorhandene Konfigurationsrichtlinien löschen](delete-policy.md).

Wenn Sie die zentrale Konfiguration deaktivieren, treten die folgenden Änderungen auf:
+ Der delegierte Administrator kann keine Konfigurationsrichtlinien mehr für die Organisation erstellen.
+ Konten, auf die eine Konfigurationsrichtlinie angewendet oder vererbt wurde, behalten ihre aktuellen Einstellungen bei, werden jedoch automatisch verwaltet.
+ Ihr Unternehmen wechselt zur *lokalen Konfiguration*. Bei der lokalen Konfiguration müssen die meisten Security Hub CSPM-Einstellungen für jedes Organisationskonto und jede Region separat konfiguriert werden. Der delegierte Administrator kann festlegen, dass Security Hub CSPM, [Standardsicherheitsstandards und alle Kontrollen, die Teil der Standardstandards](securityhub-auto-enabled-standards.md) sind, in neuen Organisationskonten automatisch aktiviert werden. Die Standardstandards sind AWS Foundational Security Best Practices (FSBP) und Center for Internet Security (CIS) Foundations Benchmark v1.2.0. AWS Diese Einstellungen sind nur in der aktuellen Region wirksam und wirken sich nur auf neue Unternehmenskonten aus. Der delegierte Administrator kann nicht ändern, welche Standards die Standardstandards sind. Die lokale Konfiguration unterstützt nicht die Verwendung von Konfigurationsrichtlinien oder Konfigurationen auf OU-Ebene.

Die Identität des delegierten Administratorkontos bleibt unverändert, wenn Sie die zentrale Konfiguration nicht mehr verwenden. Ihre Heimatregion und die verknüpften Regionen bleiben ebenfalls unverändert (Ihre Heimatregion wird jetzt als Aggregationsregion bezeichnet und kann für die Suche nach Aggregationen verwendet werden).

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die zentrale Konfiguration nicht mehr zu verwenden und zur lokalen Konfiguration zu wechseln.

------
#### [ Security Hub CSPM console ]

**Um die zentrale Konfiguration (Konsole) zu deaktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. **Wählen Sie im Navigationsbereich **Einstellungen und Konfiguration aus.****

1. Wählen Sie im Abschnitt **Übersicht** die Option **Bearbeiten** aus.

1. Wählen **Sie im Feld Organisationskonfiguration bearbeiten** die Option **Lokale Konfiguration** aus. Falls Sie dies noch nicht getan haben, werden Sie aufgefordert, Ihre aktuellen Konfigurationsrichtlinien zu trennen und zu löschen, bevor Sie die zentrale Konfiguration beenden können. Konten oder Konten OUs , die als selbstverwaltet gekennzeichnet sind, müssen von ihrer selbstverwalteten Konfiguration getrennt werden. Sie können dies in der Konsole tun, indem Sie den [Verwaltungstyp jedes selbstverwalteten Kontos oder jeder Organisationseinheit auf **Zentral verwaltet** und von meiner Organisation **übernehmen** ändern](central-configuration-management-type.md#choose-management-type).

1. Wählen Sie optional die Standardeinstellungen für die lokale Konfiguration für neue Organisationskonten aus.

1. Wählen Sie **Bestätigen** aus.

------
#### [ Security Hub CSPM API ]

**Um die zentrale Konfiguration (API) zu deaktivieren**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API auf.

1. Setzen Sie das `ConfigurationType` Feld im `OrganizationConfiguration` Objekt auf`LOCAL`. Die API gibt einen Fehler zurück, wenn Sie über bestehende Konfigurationsrichtlinien oder Richtlinienzuordnungen verfügen. Rufen Sie die API auf, um die Zuordnung einer Konfigurationsrichtlinie aufzuheben. `StartConfigurationPolicyDisassociation` Rufen Sie die API auf, um eine Konfigurationsrichtlinie zu löschen. `DeleteConfigurationPolicy`

1. Wenn Sie Security Hub CSPM automatisch in neuen Organisationskonten aktivieren möchten, setzen Sie das `AutoEnable` Feld auf. `true` Standardmäßig ist der Wert dieses Felds`false`, und Security Hub CSPM wird nicht automatisch in neuen Organisationskonten aktiviert. Wenn Sie die Standardsicherheitsstandards für neue Organisationskonten automatisch aktivieren möchten, setzen Sie das `AutoEnableStandards` Feld optional auf. `DEFAULT` Dies ist der Standardwert. Wenn Sie die Standardsicherheitsstandards in neuen Organisationskonten nicht automatisch aktivieren möchten, setzen Sie das `AutoEnableStandards` Feld auf`NONE`.

**Beispiel für eine API-Anfrage:**

```
{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
```

------
#### [ AWS CLI ]

**Um die zentrale Konfiguration zu deaktivieren (AWS CLI)**

1. Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) aus.

1. Stellen Sie das `ConfigurationType` Feld im `organization-configuration` Objekt auf ein`LOCAL`. Der Befehl gibt einen Fehler zurück, wenn Sie bereits über Konfigurationsrichtlinien oder Richtlinienzuordnungen verfügen. Führen Sie den `start-configuration-policy-disassociation` Befehl aus, um die Zuordnung einer Konfigurationsrichtlinie aufzuheben. Führen Sie den `delete-configuration-policy` Befehl aus, um eine Konfigurationsrichtlinie zu löschen.

1. Wenn Sie Security Hub CSPM automatisch in neuen Organisationskonten aktivieren möchten, geben Sie den `auto-enable` Parameter an. Standardmäßig ist der Wert dieses Parameters`no-auto-enable`, und Security Hub CSPM wird nicht automatisch in neuen Organisationskonten aktiviert. Wenn Sie die Standardsicherheitsstandards für neue Organisationskonten automatisch aktivieren möchten, setzen Sie das `auto-enable-standards` Feld optional auf. `DEFAULT` Dies ist der Standardwert. Wenn Sie die Standardsicherheitsstandards in neuen Organisationskonten nicht automatisch aktivieren möchten, setzen Sie das `auto-enable-standards` Feld auf`NONE`.

```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```

------

# Verwaltung von Administrator- und Mitgliedskonten in Security Hub CSPM
<a name="securityhub-accounts"></a>

Wenn Ihre AWS Umgebung über mehrere Konten verfügt, können Sie die Konten, die AWS Security Hub CSPM verwenden, als Mitgliedskonten behandeln und sie einem einzigen Administratorkonto zuordnen. Der Administrator kann Ihren allgemeinen Sicherheitsstatus überwachen und [zulässige Aktionen](securityhub-accounts-allowed-actions.md) für Mitgliedskonten ergreifen. Der Administrator kann auch verschiedene Aufgaben zur Kontoverwaltung und -verwaltung in großem Umfang ausführen, z. B. die Überwachung der geschätzten Nutzungskosten und die Bewertung der Kontokontingente.

Sie können Mitgliedskonten auf zwei Arten einem Administrator zuordnen, indem Sie Security Hub CSPM in Security Hub CSPM integrieren AWS Organizations oder indem Sie Mitgliedschaftseinladungen manuell in Security Hub CSPM senden und annehmen.

## Konten verwalten mit AWS Organizations
<a name="securityhub-orgs-account-management-overview"></a>

AWS Organizations ist ein globaler Kontoverwaltungsdienst, mit dem AWS Administratoren mehrere Konten konsolidieren und verwalten können. AWS-Konten Er bietet Funktionen zur Kontoverwaltung und konsolidierten Fakturierung, die auf die Erfüllung von Haushalts-, Sicherheits- und Compliance-Anforderungen zugeschnitten sind. Es wird ohne zusätzliche Kosten angeboten und lässt sich in mehrere integrieren AWS-Services, darunter AWS Security Hub CSPM, Amazon Macie und Amazon. GuardDuty Weitere Informationen finden Sie im [https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

Wenn Sie Security Hub CSPM und integrieren AWS Organizations, bestimmt das Verwaltungskonto der Organizations einen delegierten Security Hub CSPM-Administrator. Security Hub CSPM wird automatisch in dem delegierten Administratorkonto aktiviert, AWS-Region in dem es zugewiesen wurde.

[Nach der Benennung eines delegierten Administrators empfehlen wir, Konten in Security Hub CSPM mit zentraler Konfiguration zu verwalten.](central-configuration-intro.md) Dies ist die effizienteste Methode, Security Hub CSPM individuell anzupassen und eine angemessene Sicherheitsabdeckung für Ihr Unternehmen sicherzustellen.

Durch die zentrale Konfiguration kann der delegierte Administrator Security Hub CSPM für mehrere Unternehmenskonten und Regionen anpassen, anstatt es zu konfigurieren. Region-by-Region Sie können eine Konfigurationsrichtlinie für Ihre gesamte Organisation oder unterschiedliche Konfigurationsrichtlinien für verschiedene Konten und erstellen. OUs Die Richtlinien geben an, ob Security Hub CSPM in den zugehörigen Konten aktiviert oder deaktiviert ist und welche Sicherheitsstandards und Kontrollen aktiviert sind.

Der delegierte Administrator kann Konten als zentral verwaltete oder selbstverwaltete Konten festlegen. Zentral verwaltete Konten können nur vom delegierten Administrator konfiguriert werden. Selbstverwaltete Konten können ihre eigenen Einstellungen angeben.

*Wenn Sie sich nicht für die zentrale Konfiguration entscheiden, hat der delegierte Administrator eine eingeschränktere Möglichkeit, Security Hub CSPM zu konfigurieren, was als lokale Konfiguration bezeichnet wird.* Bei der lokalen Konfiguration kann der delegierte Administrator Security Hub CSPM und [Standardsicherheitsstandards](securityhub-auto-enabled-standards.md) automatisch in neuen Unternehmenskonten in der aktuellen Region aktivieren. Bestehende Konten verwenden diese Einstellungen jedoch nicht, sodass es nach dem Beitritt eines Kontos zur Organisation zu Konfigurationsabweichungen kommen kann.

Abgesehen von diesen neuen Kontoeinstellungen ist die lokale Konfiguration konto- und regionsspezifisch. Jedes Organisationskonto muss den Security Hub CSPM-Dienst, die Standards und Kontrollen in jeder Region separat konfigurieren. Die lokale Konfiguration unterstützt auch nicht die Verwendung von Konfigurationsrichtlinien.

## Manuelles Verwalten von Konten auf Einladung
<a name="securityhub-manual-account-management-overview"></a>

Sie müssen Mitgliedskonten auf Einladung manuell in Security Hub CSPM verwalten, wenn Sie ein eigenständiges Konto haben oder wenn Sie nicht in Organizations integriert sind. Ein eigenständiges Konto kann nicht in Organizations integriert werden, daher muss es manuell verwaltet werden. Wir empfehlen, die zentrale Konfiguration zu integrieren AWS Organizations und diese zu verwenden, wenn Sie in future weitere Konten hinzufügen.

Wenn Sie die manuelle Kontoverwaltung verwenden, bestimmen Sie ein Konto als Security Hub CSPM-Administrator. Das Administratorkonto kann Daten in Mitgliedskonten einsehen und bestimmte Maßnahmen ergreifen, wenn die Ergebnisse des Mitgliedskontos berücksichtigt werden. Der Security Hub CSPM-Administrator lädt andere Konten als Mitgliedskonten ein, und die Beziehung zwischen Administrator und Mitglied wird hergestellt, wenn ein potenzielles Mitgliedskonto die Einladung annimmt.

Die manuelle Kontoverwaltung unterstützt die Verwendung von Konfigurationsrichtlinien nicht. Ohne Konfigurationsrichtlinien kann der Administrator Security Hub CSPM nicht zentral anpassen, indem er variable Einstellungen für verschiedene Konten konfiguriert. Stattdessen muss jedes Organisationskonto Security Hub CSPM für sich selbst in jeder Region separat aktivieren und konfigurieren. Dies kann es schwieriger und zeitaufwändiger machen, eine angemessene Sicherheitsabdeckung für alle Konten und Regionen sicherzustellen, in denen Sie Security Hub CSPM verwenden. Dies kann auch zu Konfigurationsabweichungen führen, da Mitgliedskonten ihre eigenen Einstellungen ohne Eingaben des Administrators angeben können.

Informationen zur Verwaltung von Konten auf Einladung finden Sie unter[Konten auf Einladung in Security Hub CSPM verwalten](account-management-manual.md).

# Empfehlungen für die Verwaltung mehrerer Konten in Security Hub CSPM
<a name="securityhub-account-restrictions-recommendations"></a>

Im folgenden Abschnitt werden einige Einschränkungen und Empfehlungen zusammengefasst, die Sie bei der Verwaltung von Mitgliedskonten in AWS Security Hub CSPM beachten sollten.

## Maximale Anzahl von Mitgliedern pro Konto
<a name="admin-maximum-member-accounts"></a>

Wenn Sie die Integration mit verwenden AWS Organizations, unterstützt Security Hub CSPM jeweils bis zu 10.000 Mitgliedskonten pro delegiertem Administratorkonto. AWS-Region Wenn Sie Security Hub CSPM manuell aktivieren und verwalten, unterstützt Security Hub CSPM bis zu 1.000 Mitgliedskonteneinladungen pro Administratorkonto in jeder Region.

## Beziehungen zwischen Administrator und Mitglied erstellen
<a name="securityhub-accounts-regions"></a>

**Anmerkung**  
Wenn Sie die Security Hub CSPM-Integration mit AWS Organizations verwenden und keine Mitgliedskonten manuell eingeladen haben, gilt dieser Abschnitt nicht für Sie.

Ein Konto kann nicht gleichzeitig ein Administratorkonto und ein Mitgliedskonto sein.

Ein Mitgliedskonto kann nur einem Administratorkonto zugeordnet werden. Wenn ein Organisationskonto durch das Security Hub CSPM-Administratorkonto aktiviert wird, kann das Konto keine Einladung von einem anderen Konto annehmen. Wenn ein Konto bereits eine Einladung angenommen hat, kann das Konto nicht durch das Security Hub CSPM-Administratorkonto für die Organisation aktiviert werden. Es kann auch keine Einladungen von anderen Konten empfangen.

Für den manuellen Einladungsprozess ist die Annahme einer Mitgliedschaftseinladung optional.

### Mitgliedschaft durch AWS Organizations
<a name="accounts-regions-orgs"></a>

Wenn Sie Security Hub CSPM mit integrieren AWS Organizations, kann das Verwaltungskonto der Organizations ein delegiertes Administratorkonto (DA) für Security Hub CSPM festlegen. Das Organisationsverwaltungskonto kann in Organizations nicht als DA festgelegt werden. Dies ist in Security Hub CSPM zwar zulässig, wir empfehlen jedoch, dass das Verwaltungskonto der Organizations *nicht das DA* sein sollte.

Wir empfehlen, dass Sie in allen Regionen dasselbe DA-Konto wählen. Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, richtet Security Hub CSPM in allen Regionen, in denen Sie Security Hub CSPM für Ihre Organisation konfigurieren, dasselbe DA-Konto ein.

Wir empfehlen außerdem, dass Sie für alle AWS Sicherheits- und Compliance-Dienste dasselbe DA-Konto wählen, damit Sie sicherheitsrelevante Probleme von einem zentralen Punkt aus verwalten können.

### Mitgliedschaft auf Einladung
<a name="accounts-regions-invitation"></a>

Bei Mitgliedskonten, die auf Einladung erstellt wurden, wird die Zuordnung zwischen Administrator und Mitgliedskonto nur in der Region erstellt, aus der die Einladung gesendet wurde. Das Administratorkonto muss Security Hub CSPM in jeder Region aktivieren, in der Sie es verwenden möchten. Das Administratorkonto lädt dann jedes Konto ein, ein Mitgliedskonto in dieser Region zu werden.

**Anmerkung**  
Wir empfehlen, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten.

## Koordination der Administratorkonten für alle Dienste
<a name="securityhub-coordinate-admins"></a>

Security Hub CSPM fasst Ergebnisse verschiedener AWS Dienste wie Amazon GuardDuty, Amazon Inspector und Amazon Macie zusammen. Security Hub CSPM ermöglicht es Benutzern auch, von einem GuardDuty Ergebnis zu einer Untersuchung in Amazon Detective überzugehen.

Die Administrator-Mitglieds-Beziehungen, die Sie in diesen anderen Diensten einrichten, gelten jedoch nicht automatisch für Security Hub CSPM. Security Hub CSPM empfiehlt, dass Sie für all diese Dienste dasselbe Konto wie das Administratorkonto verwenden. Bei diesem Administratorkonto sollte es sich um ein Konto handeln, das für Sicherheitstools verantwortlich ist. Dasselbe Konto sollte auch das Aggregatorkonto für AWS Config sein.

Beispielsweise kann ein Benutzer des GuardDuty Administratorkontos A die Ergebnisse für die GuardDuty Mitgliedskonten B und C auf der GuardDuty Konsole sehen. Wenn Konto A dann Security Hub CSPM aktiviert, sehen Benutzer von Konto A *nicht* automatisch GuardDuty Ergebnisse für die Konten B und C in Security Hub CSPM. Für diese Konten ist auch eine Beziehung zwischen Security Hub CSPM-Administrator und Mitglied erforderlich.

Machen Sie dazu Konto A zum Security Hub CSPM-Administratorkonto und aktivieren Sie die Konten B und C als Security Hub CSPM-Mitgliedskonten.

# Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations
<a name="securityhub-accounts-orgs"></a>

Sie können AWS Security Hub CSPM in Security Hub CSPM integrieren und dann Security Hub CSPM für Konten in Ihrer Organisation verwalten. AWS Organizations

Um Security Hub CSPM zu integrieren AWS Organizations, erstellen Sie eine Organisation in. AWS Organizations Das Organisationsverwaltungskonto bestimmt ein Konto als delegierten Security Hub CSPM-Administrator für die Organisation. Der delegierte Administrator kann dann Security Hub CSPM für andere Konten in der Organisation aktivieren, diese Konten als Security Hub CSPM-Mitgliedskonten hinzufügen und zulässige Aktionen für die Mitgliedskonten ausführen. Der delegierte Security Hub CSPM-Administrator kann Security Hub CSPM für bis zu 10.000 Mitgliedskonten aktivieren und verwalten.

[Der Umfang der Konfigurationsmöglichkeiten des delegierten Administrators hängt davon ab, ob Sie die zentrale Konfiguration verwenden.](central-configuration-intro.md) Wenn die zentrale Konfiguration aktiviert ist, müssen Sie Security Hub CSPM nicht in jedem Mitgliedskonto separat konfigurieren und. AWS-Region Der delegierte Administrator kann spezifische Security Hub CSPM-Einstellungen in bestimmten Mitgliedskonten und Organisationseinheiten (OUs) regionsübergreifend durchsetzen.

Das delegierte Security Hub-CSPM-Administratorkonto kann die folgenden Aktionen für Mitgliedskonten ausführen:
+ Wenn Sie die zentrale Konfiguration verwenden, konfigurieren Sie Security Hub CSPM zentral für Mitgliedskonten und OUs erstellen Sie Security Hub CSPM-Konfigurationsrichtlinien. Konfigurationsrichtlinien können verwendet werden, um Security Hub CSPM zu aktivieren und zu deaktivieren, Standards zu aktivieren und zu deaktivieren und Kontrollen zu aktivieren und zu deaktivieren.
+ Behandeln Sie *neue* Konten automatisch als Security Hub CSPM-Mitgliedskonten, wenn sie der Organisation beitreten. Wenn Sie die zentrale Konfiguration verwenden, umfasst eine Konfigurationsrichtlinie, die einer Organisationseinheit zugeordnet ist, bestehende und neue Konten, die Teil der Organisationseinheit sind.
+ Behandeln Sie *bestehende* Organisationskonten als Security Hub CSPM-Mitgliedskonten. Dies geschieht automatisch, wenn Sie die zentrale Konfiguration verwenden.
+ Trennen Sie die Zuordnung von Mitgliedskonten, die zur Organisation gehören. Wenn Sie die zentrale Konfiguration verwenden, können Sie die Zuordnung eines Mitgliedskontos erst aufheben, nachdem Sie es als selbstverwaltet gekennzeichnet haben. Alternativ können Sie eine Konfigurationsrichtlinie, die Security Hub CSPM deaktiviert, bestimmten zentral verwalteten Mitgliedskonten zuordnen.

Wenn Sie sich nicht für die zentrale Konfiguration entscheiden, verwendet Ihr Unternehmen den Standardkonfigurationstyp, die als lokale Konfiguration bezeichnet wird. Bei der lokalen Konfiguration hat der delegierte Administrator eingeschränkte Möglichkeiten, Einstellungen in Mitgliedskonten durchzusetzen. Weitere Informationen finden Sie unter [Grundlegendes zur lokalen Konfiguration in Security Hub CSPM](local-configuration.md).

Eine vollständige Liste der Aktionen, die der delegierte Administrator an Mitgliedskonten ausführen kann, finden Sie unter. [Zulässige Aktionen von Administrator- und Mitgliedskonten in Security Hub CSPM](securityhub-accounts-allowed-actions.md)

In den Themen dieses Abschnitts wird erklärt, wie Security Hub CSPM in Security Hub CSPM für Konten in einer Organisation integriert AWS Organizations und verwaltet wird. Wo relevant, werden in jedem Abschnitt die Verwaltungsvorteile und Unterschiede für Benutzer der zentralen Konfiguration aufgeführt.

**Topics**
+ [

# Integration von Security Hub CSPM mit AWS Organizations
](designate-orgs-admin-account.md)
+ [

# Automatisches Aktivieren von Security Hub CSPM in neuen Organisationskonten
](accounts-orgs-auto-enable.md)
+ [

# Manuelles Aktivieren von Security Hub CSPM in neuen Organisationskonten
](orgs-accounts-enable.md)
+ [

# Trennung der Security Hub CSPM-Mitgliedskonten von Ihrer Organisation
](accounts-orgs-disassociate.md)

# Integration von Security Hub CSPM mit AWS Organizations
<a name="designate-orgs-admin-account"></a>

Um AWS Security Hub CSPM und zu integrieren AWS Organizations, erstellen Sie eine Organisation in Organizations und verwenden das Organisationsverwaltungskonto, um ein delegiertes Security Hub CSPM-Administratorkonto festzulegen. Dadurch wird Security Hub CSPM als vertrauenswürdiger Dienst in Organizations aktiviert. [Es aktiviert auch Security Hub CSPM in der aktuellen Version AWS-Region für das delegierte Administratorkonto und ermöglicht es dem delegierten Administrator, Security Hub CSPM für Mitgliedskonten zu aktivieren, Daten in Mitgliedskonten anzuzeigen und andere zulässige Aktionen für Mitgliedskonten durchzuführen.](securityhub-accounts-allowed-actions.md)

Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, kann der delegierte Administrator auch Security Hub CSPM-Konfigurationsrichtlinien erstellen, die angeben, wie der Security Hub CSPM-Dienst, die Standards und Kontrollen in Organisationskonten konfiguriert werden sollen.

## Erstellen einer Organisation
<a name="create-organization"></a>

Eine Organisation ist eine Entität, die Sie erstellen, um Ihre Organisation zu konsolidieren, AWS-Konten sodass Sie sie als eine Einheit verwalten können.

Sie können eine Organisation entweder mithilfe der AWS Organizations Konsole oder mithilfe eines Befehls aus dem SDK AWS CLI APIs oder einem der SDKs erstellen. Ausführliche Anweisungen finden [Sie im *AWS Organizations Benutzerhandbuch* unter Organisation erstellen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html).

Sie können AWS Organizations damit alle Konten in Ihrer Organisation zentral anzeigen und verwalten. Eine Organisation besteht aus einem Verwaltungskonto und gegebenenfalls Mitgliedskonten. Sie können die Konten in einer hierarchischen, baumähnlichen Struktur mit einem Stamm an der Spitze und Organisationseinheiten (OUs) unter dem Stamm organisieren. Jedes Konto kann sich direkt unter dem Stamm befinden oder einem der Konten in der OUs Hierarchie zugeordnet werden. Eine OU ist ein Container für bestimmte Konten. Sie können beispielsweise eine Organisationseinheit für Finanzen erstellen, die alle Konten im Zusammenhang mit Finanzoperationen umfasst. 

## Empfehlungen für die Auswahl des delegierten Security Hub CSPM-Administrators
<a name="designate-admin-recommendations"></a>

Wenn Sie über ein Administratorkonto aus dem manuellen Einladungsprozess verfügen und zur Kontoverwaltung mit wechseln, empfehlen wir AWS Organizations, dieses Konto als delegierten Security Hub CSPM-Administrator festzulegen.

Obwohl das Security Hub CSPM APIs und die Konsole es dem Organisationsverwaltungskonto ermöglichen, der delegierte Security Hub CSPM-Administrator zu sein, empfehlen wir, zwei verschiedene Konten zu wählen. Dies liegt daran, dass Benutzer, die Zugriff auf das Organisationsverwaltungskonto haben, um die Abrechnung zu verwalten, sich wahrscheinlich von Benutzern unterscheiden, die für die Sicherheitsverwaltung Zugriff auf Security Hub CSPM benötigen.

Wir empfehlen, in allen Regionen denselben delegierten Administrator zu verwenden. Wenn Sie sich für die zentrale Konfiguration entscheiden, bestimmt Security Hub CSPM automatisch denselben delegierten Administrator in Ihrer Heimatregion und allen verknüpften Regionen.

## Überprüfen Sie die Berechtigungen zur Konfiguration des delegierten Administrators
<a name="designate-admin-permissions"></a>

Um ein delegiertes Security Hub CSPM-Administratorkonto zuzuweisen und zu entfernen, muss das Organisationsverwaltungskonto über Berechtigungen für die `DisableOrganizationAdminAccount` Aktionen `EnableOrganizationAdminAccount` und in Security Hub CSPM verfügen. Das Verwaltungskonto für Organizations muss auch über Administratorberechtigungen für Organizations verfügen.

Um alle erforderlichen Berechtigungen zu gewähren, fügen Sie dem IAM-Prinzipal für das Organisationsverwaltungskonto die folgenden von Security Hub verwalteten CSPM-Richtlinien hinzu:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## Benennen des delegierten Administrators
<a name="designate-admin-instructions"></a>

Um das delegierte Security Hub CSPM-Administratorkonto festzulegen, können Sie die Security Hub CSPM-Konsole, die Security Hub CSPM-API oder verwenden. AWS CLI Security Hub CSPM legt den delegierten Administrator AWS-Region nur in der aktuellen Region fest, und Sie müssen die Aktion in anderen Regionen wiederholen. Wenn Sie die zentrale Konfiguration verwenden, richtet Security Hub CSPM automatisch denselben delegierten Administrator in der Heimatregion und den verknüpften Regionen ein.

Das Organisationsverwaltungskonto muss Security Hub CSPM nicht aktivieren, um das delegierte Security Hub CSPM-Administratorkonto zu bestimmen.

Wir empfehlen, dass das Organisationsverwaltungskonto nicht das delegierte Security Hub CSPM-Administratorkonto ist. Wenn Sie jedoch das Organisationsverwaltungskonto als delegierten Security Hub CSPM-Administrator wählen, muss Security Hub CSPM für das Verwaltungskonto aktiviert sein. Wenn Security Hub CSPM für das Verwaltungskonto nicht aktiviert ist, müssen Sie Security Hub CSPM manuell dafür aktivieren. Security Hub CSPM kann nicht automatisch für das Organisationsverwaltungskonto aktiviert werden.

Sie müssen den delegierten Security Hub CSPM-Administrator mit einer der folgenden Methoden benennen. Die Benennung des delegierten Security Hub CSPM-Administrators mit Organizations spiegelt APIs sich nicht in Security Hub CSPM wider.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zur Benennung des delegierten Security Hub CSPM-Administratorkontos.

------
#### [ Security Hub CSPM console ]

**Um den delegierten Administrator beim Onboarding zu bestimmen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie **Gehe zu Security Hub CSPM**. Sie werden aufgefordert, sich beim Organisationsverwaltungskonto anzumelden.

1. Geben Sie auf der Seite **Delegierten Administrator benennen** im Abschnitt **Delegiertes Administratorkonto** das delegierte Administratorkonto an. Wir empfehlen, denselben delegierten Administrator zu wählen, den Sie für andere AWS Sicherheits- und Compliance-Dienste eingerichtet haben.

1. Wählen Sie **Delegierten Administrator festlegen** aus. Sie werden aufgefordert, sich mit dem delegierten Administratorkonto anzumelden (falls Sie dies noch nicht getan haben), um das Onboarding mit der zentralen Konfiguration fortzusetzen. **Wenn Sie die zentrale Konfiguration nicht starten möchten, wählen Sie Abbrechen.** Ihr delegierter Administrator ist eingerichtet, aber Sie verwenden die zentrale Konfiguration noch nicht.

****Um den delegierten Administrator auf der Seite „Einstellungen“ zu bestimmen****

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Security Hub CSPM-Navigationsbereich die Option Einstellungen aus.** **Wählen Sie dann Allgemein.**

1. Wenn derzeit ein Security Hub CSPM-Administratorkonto zugewiesen ist, müssen Sie das aktuelle Konto entfernen, bevor Sie ein neues Konto einrichten können.

   **Um das aktuelle Konto zu entfernen, **wählen Sie unter Delegierter Administrator** die Option Entfernen aus.**

1. Geben Sie die Konto-ID des Kontos ein, das Sie als **Security Hub CSPM-Administratorkonto** festlegen möchten.

   Sie müssen in allen Regionen dasselbe Security Hub CSPM-Administratorkonto angeben. Wenn Sie ein Konto angeben, das sich von dem in anderen Regionen angegebenen Konto unterscheidet, gibt die Konsole einen Fehler zurück.

1. Wählen Sie **Delegieren**.

------
#### [ Security Hub CSPM API, AWS CLI ]

Verwenden Sie vom Organisationsverwaltungskonto aus den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)Betrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)Befehl aus. Geben Sie die AWS-Konto ID des delegierten Security Hub CSPM-Administrators an.

Im folgenden Beispiel wird der delegierte Security Hub CSPM-Administrator benannt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# Den delegierten Administrator entfernen oder ändern
<a name="remove-admin-overview"></a>

Nur das Organisationsverwaltungskonto kann das delegierte Security Hub CSPM-Administratorkonto entfernen.

Um den delegierten Security Hub CSPM-Administrator zu ändern, müssen Sie zuerst das aktuelle delegierte Administratorkonto entfernen und dann ein neues festlegen.

**Warnung**  
Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, können Sie die Security Hub CSPM-Konsole oder Security Hub CSPM nicht verwenden, um das delegierte Administratorkonto APIs zu ändern oder zu entfernen. Wenn das Organisationsverwaltungskonto die AWS Organizations Konsole verwendet oder AWS Organizations APIs um den delegierten Security Hub CSPM-Administrator zu ändern oder zu entfernen, stoppt Security Hub CSPM automatisch die zentrale Konfiguration und löscht Ihre Konfigurationsrichtlinien und Richtlinienzuordnungen. Mitgliedskonten behalten die Konfigurationen bei, die sie hatten, bevor der delegierte Administrator geändert oder entfernt wurde.

Wenn Sie die Security Hub CSPM-Konsole verwenden, um den delegierten Administrator in einer Region zu entfernen, wird er automatisch in allen Regionen entfernt.

Die Security Hub CSPM API entfernt nur das delegierte Security Hub CSPM-Administratorkonto aus der Region, in der der API-Aufruf oder -Befehl ausgeführt wird. Sie müssen die Aktion in anderen Regionen wiederholen.

Wenn Sie das delegierte Security Hub CSPM-Administratorkonto mithilfe der Organizations API entfernen, wird es automatisch in allen Regionen entfernt.

## Den delegierten Administrator entfernen (Organizations API, AWS CLI)
<a name="remove-admin-orgs"></a>

Sie können Organizations verwenden, um den delegierten Security Hub CSPM-Administrator in allen Regionen zu entfernen.

Wenn Sie die zentrale Konfiguration zur Verwaltung von Konten verwenden, führt das Entfernen des delegierten Administratorkontos zum Löschen Ihrer Konfigurationsrichtlinien und Richtlinienverknüpfungen. Mitgliedskonten behalten die Konfigurationen bei, die sie hatten, bevor der delegierte Administrator geändert oder entfernt wurde. Diese Konten können jedoch nicht mehr mit dem entfernten delegierten Administratorkonto verwaltet werden. Sie werden zu selbstverwalteten Konten, die in jeder Region separat konfiguriert werden müssen.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Anweisungen, um das delegierte Security Hub CSPM-Administratorkonto mit zu entfernen. AWS Organizations

------
#### [ Organizations API, AWS CLI ]

**So entfernen Sie den delegierten Security Hub CSPM-Administrator**

Verwenden Sie vom Organisationsverwaltungskonto aus den [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)Betrieb der Organisations-API. Wenn Sie den verwenden AWS CLI, führen Sie den [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)Befehl aus. Geben Sie die Konto-ID des delegierten Administrators und den Dienstprinzipal für Security Hub CSPM an, nämlich. `securityhub.amazonaws.com`

Im folgenden Beispiel wird der delegierte Security Hub CSPM-Administrator entfernt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Den delegierten Administrator entfernen (Security Hub CSPM-Konsole)
<a name="remove-admin-console"></a>

Sie können die Security Hub CSPM-Konsole verwenden, um den delegierten Security Hub CSPM-Administrator in allen Regionen zu entfernen.

Wenn das delegierte Security Hub CSPM-Administratorkonto entfernt wird, werden die Mitgliedskonten vom entfernten delegierten Security Hub CSPM-Administratorkonto getrennt.

Security Hub CSPM ist weiterhin in den Mitgliedskonten aktiviert. Sie werden zu eigenständigen Konten, bis ein neuer Security Hub CSPM-Administrator sie als Mitgliedskonten aktiviert.

Wenn das Organisationsverwaltungskonto kein aktiviertes Konto in Security Hub CSPM ist, verwenden Sie die Option auf der Seite **Willkommen bei Security Hub CSPM**.

**So entfernen Sie das delegierte Security Hub CSPM-Administratorkonto von der Seite **Willkommen bei Security** Hub CSPM**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie **Gehe zu Security Hub**.

1. Wählen Sie unter **Delegierter Administrator** die Option **Entfernen** aus.

Wenn das Organisationsverwaltungskonto ein aktiviertes Konto in **Security Hub** ist, verwenden Sie die Option auf der Registerkarte **Allgemein** der Seite **Einstellungen**.

****So entfernen Sie das delegierte Security Hub CSPM-Administratorkonto von der Seite Einstellungen****

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Security Hub CSPM-Navigationsbereich die Option Einstellungen aus.** **Wählen Sie dann Allgemein.**

1. Wählen Sie unter **Delegierter Administrator** die Option **Entfernen** aus.

## Den delegierten Administrator entfernen (Security Hub CSPM API,) AWS CLI
<a name="remove-admin-api"></a>

Sie können die Security Hub CSPM-API oder die Security Hub CSPM-Operationen verwenden, AWS CLI um den delegierten Security Hub CSPM-Administrator zu entfernen. Wenn Sie den delegierten Administrator mit einer dieser Methoden entfernen, wird er nur in der Region entfernt, in der der API-Aufruf oder -Befehl ausgeführt wurde. Security Hub CSPM aktualisiert keine anderen Regionen und entfernt auch nicht das delegierte Administratorkonto in. AWS Organizations

Wählen Sie Ihre bevorzugte Methode und gehen Sie wie folgt vor, um das delegierte Security Hub CSPM-Administratorkonto bei Security Hub CSPM zu entfernen.

------
#### [ Security Hub CSPM API, AWS CLI ]

**So entfernen Sie den delegierten Security Hub CSPM-Administrator**

Verwenden Sie vom Organisationsverwaltungskonto aus den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html)Betrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html)Befehl aus. Geben Sie die Konto-ID des delegierten Security Hub CSPM-Administrators an.

Im folgenden Beispiel wird der delegierte Security Hub CSPM-Administrator entfernt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# Deaktivieren der Security Hub CSPM-Integration mit AWS Organizations
<a name="disable-orgs-integration"></a>

Nachdem eine AWS Organizations Organisation in AWS Security Hub CSPM integriert wurde, kann das Verwaltungskonto der Organizations die Integration anschließend deaktivieren. Als Benutzer des Organisationsverwaltungskontos können Sie dies tun, indem Sie den vertrauenswürdigen Zugriff für Security Hub CSPM in deaktivieren. AWS Organizations

Wenn Sie den vertrauenswürdigen Zugriff für Security Hub CSPM deaktivieren, passiert Folgendes:
+ Security Hub CSPM verliert seinen Status als vertrauenswürdiger Dienst in. AWS Organizations
+ Das delegierte Security Hub CSPM-Administratorkonto verliert den Zugriff auf Security Hub CSPM-Einstellungen, Daten und Ressourcen für alle Security Hub CSPM-Mitgliedskonten insgesamt. AWS-Regionen
+ Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwendet haben, verwendet Security Hub CSPM sie automatisch nicht mehr für Ihr Unternehmen. Ihre Konfigurationsrichtlinien und Richtlinienzuordnungen werden gelöscht. Konten behalten die Konfigurationen bei, die sie hatten, bevor Sie den vertrauenswürdigen Zugriff deaktiviert haben.
+ Alle Security Hub CSPM-Mitgliedskonten werden zu eigenständigen Konten und behalten ihre aktuellen Einstellungen bei. Wenn Security Hub CSPM für ein Mitgliedskonto in einer oder mehreren Regionen aktiviert wurde, ist Security Hub CSPM weiterhin für das Konto in diesen Regionen aktiviert. Die aktivierten Standards und Kontrollen bleiben ebenfalls unverändert. Sie können diese Einstellungen für jedes Konto und jede Region separat ändern. Das Konto ist jedoch in keiner Region mehr einem delegierten Administrator zugeordnet.

Weitere Informationen zu den Ergebnissen der Deaktivierung des Zugriffs auf vertrauenswürdige Dienste finden Sie AWS-Services im *AWS Organizations Benutzerhandbuch* [unter AWS Organizations Zusammen mit anderen Benutzern verwenden](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html). 

Um den vertrauenswürdigen Zugriff zu deaktivieren, können Sie die AWS Organizations Konsole, die Organisations-API oder die verwenden AWS CLI. Nur ein Benutzer des Organisationsverwaltungskontos kann den vertrauenswürdigen Dienstzugriff für Security Hub CSPM deaktivieren. Einzelheiten zu den Berechtigungen, die Sie benötigen, finden Sie im *AWS Organizations Benutzerhandbuch* unter [Erforderliche Berechtigungen zur Deaktivierung des vertrauenswürdigen Zugriffs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms).

Bevor Sie den vertrauenswürdigen Zugriff deaktivieren, empfehlen wir, mit dem delegierten Administrator Ihrer Organisation zusammenzuarbeiten, um Security Hub CSPM in Mitgliedskonten zu deaktivieren und die Security Hub CSPM-Ressourcen in diesen Konten zu bereinigen.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um den vertrauenswürdigen Zugriff für Security Hub CSPM zu deaktivieren.

------
#### [ Organizations console ]

**So deaktivieren Sie den vertrauenswürdigen Zugriff für Security Hub CSPM**

1. Melden Sie sich AWS-Managementkonsole mit den Anmeldeinformationen des AWS Organizations Verwaltungskontos an.

1. Öffnen Sie die Organisationskonsole unter [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. Wählen Sie im Navigationsbereich **Services**.

1. Wählen Sie unter **Integrierte Dienste** die Option **AWS Security Hub CSPM** aus.

1. Wählen Sie **Vertrauenswürdigen Zugriff deaktivieren**.

1. Bestätigen Sie, dass Sie den vertrauenswürdigen Zugriff deaktivieren möchten.

------
#### [ Organizations API ]

**So deaktivieren Sie den vertrauenswürdigen Zugriff für Security Hub CSPM**

Rufen [Sie den Vorgang „AWSServiceZugriff deaktivieren“ der API auf](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html). AWS Organizations Geben Sie für den `ServicePrincipal` Parameter den Security Hub CSPM-Dienstprinzipal () `securityhub.amazonaws.com` an.

------
#### [ AWS CLI ]

**So deaktivieren Sie den vertrauenswürdigen Zugriff für Security Hub CSPM**

Führen Sie den [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)Befehl der API aus. AWS Organizations Geben Sie für den `service-principal` Parameter den Security Hub CSPM-Dienstprinzipal () `securityhub.amazonaws.com` an.

**Beispiel:**

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# Automatisches Aktivieren von Security Hub CSPM in neuen Organisationskonten
<a name="accounts-orgs-auto-enable"></a>

Wenn neue Konten Ihrer Organisation beitreten, werden sie der Liste auf der **Kontoseite** der AWS Security Hub CSPM-Konsole hinzugefügt. Für Organisationskonten lautet **Typ** auf **Nach Organisation**. Standardmäßig werden neue Konten nicht zu Security Hub CSPM-Mitgliedern, wenn sie der Organisation beitreten. Ihr Status ist **Kein Mitglied**. Das delegierte Administratorkonto kann automatisch neue Konten als Mitglieder hinzufügen und Security Hub CSPM in diesen Konten aktivieren, wenn sie der Organisation beitreten.

**Anmerkung**  
Obwohl viele Regionen standardmäßig für Sie aktiv AWS-Regionen sind AWS-Konto, müssen Sie bestimmte Regionen manuell aktivieren. Diese Regionen werden in diesem Dokument als Opt-in-Regionen bezeichnet. Um Security Hub CSPM automatisch in einem neuen Konto in einer Opt-in-Region zu aktivieren, muss diese Region zuerst für das Konto aktiviert sein. Nur der Kontoinhaber kann die Opt-in-Region aktivieren. Weitere Informationen zu Opt-in-Regionen findest du unter [Geben Sie an, welche Regionen für AWS-Regionen Ihr Konto verwendet werden können](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).

Dieser Vorgang unterscheidet sich je nachdem, ob Sie die zentrale Konfiguration (empfohlen) oder die lokale Konfiguration verwenden.

## Automatische Aktivierung neuer Organisationskonten (zentrale Konfiguration)
<a name="central-configuration-auto-enable"></a>

Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, können Sie Security Hub CSPM automatisch in neuen und bestehenden Organisationskonten aktivieren, indem Sie eine Konfigurationsrichtlinie erstellen, in der Security Hub CSPM aktiviert ist. Anschließend können Sie die Richtlinie dem Organisationsstamm oder bestimmten Organisationseinheiten zuordnen (). OUs

Wenn Sie eine Konfigurationsrichtlinie, in der Security Hub CSPM aktiviert ist, einer bestimmten OU zuordnen, wird Security Hub CSPM automatisch in allen Konten (vorhandenen und neuen) aktiviert, die zu dieser OU gehören. Neue Konten, die nicht zur Organisationseinheit gehören, werden selbst verwaltet und Security Hub CSPM ist nicht automatisch aktiviert. Wenn Sie dem Root eine Konfigurationsrichtlinie zuordnen, in der Security Hub CSPM aktiviert ist, wird Security Hub CSPM automatisch in allen Konten (vorhandenen und neuen) aktiviert, die der Organisation beitreten. Ausnahmen sind, wenn ein Konto aufgrund von Anwendung oder Vererbung eine andere Richtlinie verwendet oder wenn es sich um ein selbstverwaltetes Konto handelt.

In Ihrer Konfigurationsrichtlinie können Sie auch definieren, welche Sicherheitsstandards und Kontrollen in der Organisationseinheit aktiviert werden sollen. Um Kontrollergebnisse für aktivierte Standards zu generieren, müssen die Konten in der Organisationseinheit AWS Config aktiviert und konfiguriert sein, um die erforderlichen Ressourcen aufzuzeichnen. Weitere Informationen zur AWS Config Aufzeichnung finden Sie unter [Aktivieren und Konfigurieren AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Anweisungen zum Erstellen einer Konfigurationsrichtlinie finden Sie unter[Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md).

## Automatisches Aktivieren neuer Organisationskonten (lokale Konfiguration)
<a name="limited-configuration-auto-enable"></a>

Wenn Sie die lokale Konfiguration verwenden und die automatische Aktivierung von Standardstandards aktivieren, fügt Security Hub CSPM *neue* Organisationskonten als Mitglieder hinzu und aktiviert Security Hub CSPM in diesen Konten in der aktuellen Region. Andere Regionen sind nicht betroffen. Darüber hinaus aktiviert die Aktivierung der automatischen Aktivierung Security Hub CSPM nicht in *bestehenden* Organisationskonten, es sei denn, sie wurden bereits als Mitgliedskonten hinzugefügt.

Nach der Aktivierung der automatischen Aktivierung werden die Standardsicherheitsstandards für neue Mitgliedskonten in der aktuellen Region aktiviert, wenn sie der Organisation beitreten. Die Standardstandards sind AWS Foundational Security Best Practices (FSBP) und Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Sie können die Standardstandards nicht ändern. Wenn Sie andere Standards in Ihrer Organisation aktivieren oder Standards für ausgewählte Konten aktivieren möchten OUs, empfehlen wir die zentrale Konfiguration.

Um Kontrollergebnisse für die Standardstandards (und andere aktivierte Standards) zu generieren, müssen die Konten in Ihrer Organisation AWS Config aktiviert und konfiguriert sein, um die erforderlichen Ressourcen aufzuzeichnen. Weitere Informationen zur AWS Config Aufzeichnung finden Sie unter [Aktivieren und Konfigurieren AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Security Hub CSPM automatisch in neuen Unternehmenskonten zu aktivieren. Diese Anweisungen gelten nur, wenn Sie die lokale Konfiguration verwenden.

------
#### [ Security Hub CSPM console ]

**So aktivieren Sie automatisch neue Organisationskonten als Security Hub CSPM-Mitglieder**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Sign verwendet die Anmeldeinformationen des delegierten Administratorkontos.

1. **Wählen Sie im Security Hub CSPM-Navigationsbereich unter **Einstellungen** die Option Konfiguration aus.**

1. Aktivieren Sie im Abschnitt **Konten** die Option Konten **automatisch** aktivieren.

------
#### [ Security Hub CSPM API ]

**So aktivieren Sie automatisch neue Organisationskonten als Security Hub CSPM-Mitglieder**

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API vom delegierten Administratorkonto aus auf. Stellen Sie das `AutoEnable` Feld auf ein`true`, um Security Hub CSPM automatisch in neuen Organisationskonten zu aktivieren.

------
#### [ AWS CLI ]

**So aktivieren Sie automatisch neue Organisationskonten als Security Hub CSPM-Mitglieder**

Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)Befehl über das delegierte Administratorkonto aus. Fügen Sie den `auto-enable` Parameter hinzu, um Security Hub CSPM automatisch in neuen Organisationskonten zu aktivieren.

```
aws securityhub update-organization-configuration --auto-enable
```

------

# Manuelles Aktivieren von Security Hub CSPM in neuen Organisationskonten
<a name="orgs-accounts-enable"></a>

Wenn Sie Security Hub CSPM nicht automatisch in neuen Organisationskonten aktivieren, wenn diese der Organisation beitreten, können Sie diese Konten als Mitglieder hinzufügen und Security Hub CSPM in ihnen manuell aktivieren, nachdem sie der Organisation beigetreten sind. Sie müssen Security Hub CSPM auch manuell aktivieren, da Sie zuvor AWS-Konten die Verbindung zu einer Organisation getrennt haben.

**Anmerkung**  
[Dieser Abschnitt gilt nicht für Sie, wenn Sie die zentrale Konfiguration verwenden.](central-configuration-intro.md) Wenn Sie die zentrale Konfiguration verwenden, können Sie Konfigurationsrichtlinien erstellen, die Security Hub CSPM in bestimmten Mitgliedskonten und Organisationseinheiten aktivieren ()OUs. Sie können auch spezifische Standards und Kontrollen für diese Konten und aktivieren. OUs

Sie können Security Hub CSPM nicht in einem Konto aktivieren, wenn es sich bereits um ein Mitgliedskonto in einer anderen Organisation handelt.

Sie können Security Hub CSPM auch nicht in einem Konto aktivieren, das derzeit gesperrt ist. Wenn Sie versuchen, den Dienst in einem gesperrten Konto zu aktivieren, ändert sich der Kontostatus in **Konto** gesperrt.
+ Wenn Security Hub CSPM für das Konto nicht aktiviert ist, ist Security Hub CSPM in diesem Konto aktiviert. Der Standard AWS Foundational Security Best Practices (FSBP) und der CIS AWS Foundations Benchmark v1.2.0 sind ebenfalls im Konto aktiviert, sofern Sie die Standardsicherheitsstandards nicht deaktivieren.

  Eine Ausnahme bildet das Verwaltungskonto für Organizations. Security Hub CSPM kann nicht automatisch im Verwaltungskonto der Organizations aktiviert werden. Sie müssen Security Hub CSPM manuell im Verwaltungskonto der Organizations aktivieren, bevor Sie es als Mitgliedskonto hinzufügen können.
+ Wenn Security Hub CSPM für das Konto bereits aktiviert ist, nimmt Security Hub CSPM keine weiteren Änderungen am Konto vor. Es aktiviert nur die Mitgliedschaft.

Damit Security Hub CSPM Kontrollergebnisse generieren kann, müssen Mitgliedskonten AWS Config aktiviert und konfiguriert sein, um die erforderlichen Ressourcen aufzuzeichnen. Weitere Informationen zur Konfiguration von SSH finden Sie unter [Aktivieren und Konfigurieren von AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein Organisationskonto als Security Hub CSPM-Mitgliedskonto zu aktivieren.

------
#### [ Security Hub CSPM console ]

**Um Organisationskonten manuell als Security Hub CSPM-Mitglieder zu aktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Administratorkontos an.

1. **Wählen Sie im Security Hub CSPM-Navigationsbereich unter **Einstellungen** die Option Konfiguration aus.**

1. Wählen Sie in der **Kontenliste** jedes Unternehmenskonto aus, das Sie aktivieren möchten.

1. Wählen Sie **Aktionen** und dann **Mitglied hinzufügen** aus.

------
#### [ Security Hub CSPM API ]

**Um Organisationskonten manuell als Security Hub CSPM-Mitglieder zu aktivieren**

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API vom delegierten Administratorkonto aus auf. Geben Sie für jedes zu aktivierende Konto die Konto-ID an.

Im Gegensatz zum manuellen Einladungsprozess müssen `CreateMembers` Sie bei der Aktivierung eines Unternehmenskontos keine Einladung versenden.

------
#### [ AWS CLI ]

**Um Organisationskonten manuell als Security Hub CSPM-Mitglieder zu aktivieren**

Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)Befehl über das delegierte Administratorkonto aus. Geben Sie für jedes zu aktivierende Konto die Konto-ID an.

Im Gegensatz zum manuellen Einladungsprozess `create-members` müssen Sie bei der Aktivierung eines Unternehmenskontos keine Einladung versenden.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**Beispiel**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# Trennung der Security Hub CSPM-Mitgliedskonten von Ihrer Organisation
<a name="accounts-orgs-disassociate"></a>

Wenn Sie keine Ergebnisse von einem AWS Security Hub CSPM-Mitgliedskonto mehr erhalten und einsehen möchten, können Sie das Mitgliedskonto von Ihrer Organisation trennen.

**Anmerkung**  
Wenn Sie die [zentrale Konfiguration verwenden, funktioniert](central-configuration-intro.md) die Trennung anders. Sie können eine Konfigurationsrichtlinie erstellen, die Security Hub CSPM in einem oder mehreren zentral verwalteten Mitgliedskonten deaktiviert. Danach sind diese Konten immer noch Teil der Organisation, generieren aber keine CSPM-Ergebnisse von Security Hub. Wenn Sie die zentrale Konfiguration verwenden, aber auch über manuell eingeladene Mitgliedskonten verfügen, können Sie die Zuordnung zu einem oder mehreren manuell eingeladenen Konten aufheben.

Mitgliedskonten, die über verwaltet werden, AWS Organizations können ihre Konten nicht vom Administratorkonto trennen. Nur das Administratorkonto kann die Zuordnung eines Mitgliedskontos aufheben.

Durch das Aufheben der Zuordnung zu einem Mitgliedskonto wird das Konto nicht geschlossen. Stattdessen wird das Mitgliedskonto aus der Organisation entfernt. Das getrennte Mitgliedskonto wird zu einem eigenständigen Konto AWS-Konto , das nicht mehr von der Security Hub CSPM-Integration mit verwaltet wird. AWS Organizations

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein Mitgliedskonto von der Organisation zu trennen.

------
#### [ Security Hub CSPM console ]

**Um ein Mitgliedskonto von der Organisation zu trennen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Administratorkontos an.

1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Konfiguration** aus.

1. Wählen Sie im Abschnitt **Konten** die Konten aus, deren Verknüpfung Sie aufheben möchten. Wenn Sie die zentrale Konfiguration verwenden, können Sie auf der Registerkarte ein manuell eingerichtetes Konto auswählen, dessen Verbindung aufgehoben werden soll. `Invitation accounts` Diese Registerkarte ist nur sichtbar, wenn Sie die zentrale Konfiguration verwenden.

1. Wählen Sie **Aktionen** und anschließend **Konto trennen aus**.

------
#### [ Security Hub CSPM API ]

**Um ein Mitgliedskonto von der Organisation zu trennen**

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API vom delegierten Administratorkonto aus auf. Sie müssen das angeben, damit die AWS-Konto IDs Mitgliedskonten die Verknüpfung aufheben können. Rufen Sie die API auf, um eine Liste der Mitgliedskonten anzuzeigen. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)

------
#### [ AWS CLI ]

**Um ein Mitgliedskonto von der Organisation zu trennen**

Führen Sie den `disassociate-members` Befehl [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) vom delegierten Administratorkonto aus. Sie müssen das angeben, damit die AWS-Konto IDs Mitgliedskonten die Verknüpfung aufheben können. Um eine Liste der Mitgliedskonten anzuzeigen, führen Sie den `list-members` Befehl [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) aus.

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**Beispiel**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 Sie können auch die AWS Organizations Konsole oder verwenden AWS CLI, AWS SDKs um die Zuordnung eines Mitgliedskontos zu Ihrer Organisation aufzuheben. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Entfernen eines Mitgliedskontos aus Ihrer Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html).

# Konten auf Einladung in Security Hub CSPM verwalten
<a name="account-management-manual"></a>

Sie können mehrere AWS Security Hub CSPM-Konten auf zwei Arten zentral verwalten: durch die Integration von Security Hub CSPM in AWS Organizations oder durch manuelles Senden und Akzeptieren von Mitgliedschaftseinladungen. Sie müssen den manuellen Prozess verwenden, wenn Sie ein eigenständiges Konto haben oder nicht integrieren möchten. AWS Organizations Bei der manuellen Kontoverwaltung lädt der Security Hub CSPM-Administrator Konten ein, Mitglieder zu werden. Die Beziehung zwischen Administrator und Mitglied wird hergestellt, wenn ein potenzielles Mitglied die Einladung annimmt. Ein Security Hub CSPM-Administratorkonto kann Security Hub CSPM für bis zu 1.000 Mitgliedskonten verwalten, die auf Einladung basieren. 

**Anmerkung**  
Wenn Sie in Security Hub CSPM eine Organisation erstellen, die auf Einladung basiert, können Sie anschließend auf die Verwendung von CSPM [umsteigen](accounts-transition-to-orgs.md). AWS Organizations Wenn Sie mehr als ein Mitgliedskonto haben, empfehlen wir, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md).

Die regionsübergreifende Aggregation von Ergebnissen und anderen Daten ist für Konten verfügbar, die Sie über den manuellen Einladungsprozess einladen. Der Administrator muss jedoch das Mitgliedskonto aus der Aggregationsregion und allen verknüpften Regionen einladen, damit die regionsübergreifende Aggregation funktioniert. Darüber hinaus muss für das Mitgliedskonto Security Hub CSPM in der Aggregationsregion und allen verknüpften Regionen aktiviert sein, damit der Administrator die Ergebnisse des Mitgliedskontos einsehen kann.

Konfigurationsrichtlinien werden für manuell eingeladene Mitgliedskonten nicht unterstützt. Stattdessen müssen Sie die Security Hub CSPM-Einstellungen in jedem Mitgliedskonto und AWS-Region bei Verwendung des manuellen Einladungsprozesses separat konfigurieren.

Sie müssen den manuellen Einladungsprozess auch für Konten verwenden, die nicht zu Ihrer Organisation gehören. Beispielsweise könnten Sie in Ihrer Organisation kein Testkonto einrichten. Oder vielleicht möchten Sie Konten mehrerer Organisationen unter einem einzigen Security Hub CSPM-Administratorkonto konsolidieren. Das Security Hub CSPM-Administratorkonto muss Einladungen an Konten senden, die anderen Organisationen gehören.

Auf der **Konfigurationsseite** der Security Hub CSPM-Konsole werden Konten, die auf Einladung hinzugefügt wurden, auf der Registerkarte **Einladungskonten** aufgeführt. Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, aber auch Konten außerhalb Ihrer Organisation einladen, können Sie sich auf dieser Registerkarte die Ergebnisse von Konten ansehen, die auf Einladungen basieren. Der Security Hub CSPM-Administrator kann jedoch mithilfe von Konfigurationsrichtlinien keine Konten, die auf Einladungen basieren, regionsübergreifend konfigurieren.

In den Themen in diesem Abschnitt wird erklärt, wie Mitgliedskonten mithilfe von Einladungen verwaltet werden.

**Topics**
+ [

# Mitgliedskonten in Security Hub CSPM hinzufügen und einladen
](securityhub-accounts-add-invite.md)
+ [

# Auf eine Einladung antworten, ein Security Hub CSPM-Mitgliedskonto zu werden
](securityhub-invitation-respond.md)
+ [

# Aufheben der Zuordnung von Mitgliedskonten in Security Hub CSPM
](securityhub-disassociate-members.md)
+ [

# Löschen von Mitgliedskonten in Security Hub CSPM
](securityhub-delete-member-accounts.md)
+ [

# Trennung von einem Security Hub CSPM-Administratorkonto
](securityhub-disassociate-from-admin.md)
+ [

# Umstellung auf Organizations zur Verwaltung von Konten in Security Hub CSPM
](accounts-transition-to-orgs.md)

# Mitgliedskonten in Security Hub CSPM hinzufügen und einladen
<a name="securityhub-accounts-add-invite"></a>

**Anmerkung**  
Wir empfehlen, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md).

Ihr Konto wird zum AWS Security Hub CSPM-Administrator für Konten, die Ihre Einladung annehmen, ein Security Hub CSPM-Mitgliedskonto zu werden.

Wenn Sie eine Einladung von einem anderen Konto annehmen, wird Ihr Konto zu einem Mitgliedskonto und dieses Konto wird zu Ihrem Administrator.

Wenn es sich bei Ihrem Konto um ein Administratorkonto handelt, können Sie eine Einladung, ein Mitgliedskonto zu werden, nicht annehmen.

Das Hinzufügen eines Mitgliedskontos besteht aus den folgenden Schritten:

1. Das Administratorkonto fügt das Mitgliedskonto zu seiner Liste der Mitgliedskonten hinzu.

1. Das Administratorkonto sendet eine Einladung an das Mitgliedskonto.

1. Das Mitgliedskonto akzeptiert die Einladung. 

## Mitgliedskonten hinzufügen
<a name="securityhub-add-accounts"></a>

Von der Security Hub CSPM-Konsole aus können Sie Konten zu Ihrer Liste der Mitgliedskonten hinzufügen. In der Security Hub CSPM-Konsole können Sie Konten einzeln auswählen oder eine `.csv` Datei hochladen, die die Kontoinformationen enthält.

Für jedes Konto müssen Sie die Konto-ID und eine E-Mail-Adresse angeben. Die E-Mail-Adresse sollte die E-Mail-Adresse sein, an die Sie sich bei Sicherheitsproblemen im Konto wenden können. Sie wird nicht zur Verifizierung des Kontos verwendet.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Hinzufügen von Mitgliedskonten.

------
#### [ Security Hub CSPM console ]

**Um Konten zu deiner Liste von Mitgliedskonten hinzuzufügen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des Administratorkontos an.

1. Wählen Sie im linken Bereich **Settings (Einstellungen)** aus.

1. Wählen Sie auf der Seite **Einstellungen** die Option **Konten** und dann **Konten hinzufügen** aus. Sie können dann entweder einzelne Konten hinzufügen oder eine `.csv` Datei hochladen, die die Liste der Konten enthält.

1. Gehen Sie wie folgt vor, um die Konten auszuwählen:
   + Um die Konten einzeln hinzuzufügen, **geben Sie unter Konten eingeben** die Konto-ID und die E-Mail-Adresse des hinzuzufügenden Kontos ein, und wählen Sie dann **Hinzufügen** aus.

     Wiederholen Sie diesen Vorgang für jedes Konto.
   + Um eine Datei mit kommagetrennten Werten (.csv) zum Hinzufügen mehrerer Konten zu verwenden, erstellen Sie zunächst die Datei. Die Datei muss die Konto-ID und die E-Mail-Adresse für jedes hinzuzufügende Konto enthalten.

     In Ihrer `.csv` Liste muss eines pro Zeile erscheinen. Die erste Zeile der `.csv` Datei muss den Header enthalten. In der Kopfzeile befindet sich die erste Spalte **Account ID** und die zweite Spalte ist**Email**.

     Jede weitere Zeile muss eine gültige Konto-ID und eine gültige E-Mail-Adresse für das Konto enthalten, das Sie hinzufügen möchten.

     Hier ist ein Beispiel für eine `.csv` Datei, wenn sie in einem Texteditor angezeigt wird.

     ```
     Account ID,Email
     111111111111,user@example.com
     ```

     In einem Tabellenkalkulationsprogramm werden die Felder in separaten Spalten angezeigt. Das zugrunde liegende Format ist immer noch durch Kommas getrennt. Sie müssen das Konto IDs als Zahlen ohne Dezimalzahlen formatieren. Beispielsweise kann die Konto-ID 444455556666 nicht als 444455556666.0 formatiert werden. Stellen Sie außerdem sicher, dass bei der Zahlenformatierung keine führenden Nullen aus der Konto-ID entfernt werden.

     Um die Datei auszuwählen, wählen Sie auf der Konsole die Option **Liste hochladen (.csv**). Wählen Sie dann „**Durchsuchen**“.

     Nachdem Sie die Datei ausgewählt haben, wählen Sie **Konten hinzufügen**.

1. Wenn Sie mit dem Hinzufügen von Konten fertig sind, wählen Sie unter **Hinzuzufügende Konten** die Option **Weiter** aus.

------
#### [ Security Hub CSPM API ]

**Um Konten zu Ihrer Liste von Mitgliedskonten hinzuzufügen**

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API vom Administratorkonto aus auf. Für jedes Mitgliedskonto, das hinzugefügt werden soll, müssen Sie die AWS-Konto ID angeben.

------
#### [ AWS CLI ]

**Um Konten zu Ihrer Liste von Mitgliedskonten hinzuzufügen**

Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)Befehl vom Administratorkonto aus. Für jedes Mitgliedskonto, das hinzugefügt werden soll, müssen Sie die AWS-Konto ID angeben.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountID1>"}]'
```

**Beispiel**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

## Mitgliedskonten einladen
<a name="securityhub-invite-accounts"></a>

Nachdem Sie die Mitgliedskonten hinzugefügt haben, senden Sie eine Einladung an das Mitgliedskonto. Sie können eine Einladung auch erneut an ein Konto senden, das Sie vom Administrator getrennt haben.

------
#### [ Security Hub CSPM console ]

**Um Konten potenzieller Mitglieder einzuladen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des Administratorkontos an.

1. Wählen Sie im Navigationsbereich **Einstellungen** und dann **Konten** aus. 

1. Wählen Sie für das einzuladende Konto **Invite (Einladen)** in der Spalte **Status** aus.

1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Einladen** aus.

**Anmerkung**  
**Um Einladungen an getrennte Konten erneut zu senden, wählen Sie auf der Seite Konten jedes getrennte Konto aus.** **Wählen Sie unter **Aktionen** die Option Einladung erneut senden aus.**

------
#### [ Security Hub CSPM API ]

**Um Konten potenzieller Mitglieder einzuladen**

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html)API vom Administratorkonto aus auf. Für jedes Konto, das eingeladen werden soll, müssen Sie die AWS-Konto ID angeben.

------
#### [ AWS CLI ]

**Um Konten potenzieller Mitglieder einzuladen**

Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html)Befehl vom Administratorkonto aus. Für jedes Konto, das eingeladen werden soll, müssen Sie die AWS-Konto ID angeben.

```
aws securityhub invite-members --account-ids <accountIDs>
```

**Beispiel**

```
aws securityhub invite-members --account-ids "123456789111" "123456789222"
```

------

# Auf eine Einladung antworten, ein Security Hub CSPM-Mitgliedskonto zu werden
<a name="securityhub-invitation-respond"></a>

**Anmerkung**  
Wir empfehlen, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md).

Sie können eine Einladung als AWS Security Hub CSPM-Mitgliedskonto annehmen oder ablehnen.

Wenn Sie eine Einladung annehmen, wird Ihr Konto zu einem Security Hub CSPM-Mitgliedskonto. Das Konto, das die Einladung gesendet hat, wird zu Ihrem Security Hub CSPM-Administratorkonto. Der Benutzer des Administratorkontos kann die Ergebnisse für Ihr Mitgliedskonto in Security Hub CSPM einsehen.

Wenn Sie die Einladung ablehnen, wird Ihr Konto in der Liste der **Mitgliedskonten** des Administratorkontos als Kündigt markiert.

Sie können nur eine Einladung annehmen, ein Mitgliedskonto zu werden.

Bevor Sie eine Einladung annehmen oder ablehnen können, müssen Sie Security Hub CSPM aktivieren.

Denken Sie daran, dass alle Security Hub CSPM-Konten AWS Config aktiviert und konfiguriert sein müssen, um alle Ressourcen aufzuzeichnen. Einzelheiten zu den Anforderungen für finden Sie AWS Config unter [Aktivierung und Konfiguration](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html). AWS Config

## Eine Einladung annehmen
<a name="securityhub-accept-invitation"></a>

Sie können vom Administratorkonto aus eine Einladung senden, ein Security Hub CSPM-Mitgliedskonto zu werden. Sie können die Einladung dann annehmen, nachdem Sie sich mit dem Mitgliedskonto angemeldet haben.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um eine Einladung als Mitgliedskonto anzunehmen.

------
#### [ Security Hub CSPM console ]

**Um eine Einladung zur Mitgliedschaft anzunehmen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich **Einstellungen** und dann Konten aus.**

1. Aktivieren Sie im Abschnitt **Administratorkonto** die Option **Annehmen** und wählen Sie dann **Einladung annehmen** aus.

------
#### [ Security Hub CSPM API ]

**Um eine Einladung zur Mitgliedschaft anzunehmen**

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html)API auf. Sie müssen die Einladungs-ID und die AWS-Konto ID des Administratorkontos angeben. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html)Vorgang, um Details zur Einladung abzurufen.

------
#### [ AWS CLI ]

**Um eine Einladung zur Mitgliedschaft anzunehmen**

Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html) aus. Sie müssen die Einladungs-ID und die AWS-Konto ID des Administratorkontos angeben. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html)Befehl aus, um Details zur Einladung abzurufen.

```
aws securityhub accept-administrator-invitation --administrator-id <administratorAccountID> --invitation-id <invitationID>
```

**Beispiel**

```
aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb
```

------

**Anmerkung**  
Die Security Hub CSPM-Konsole wird weiterhin verwendet. `AcceptInvitation` Sie wird irgendwann auf Verwendung umgestellt. `AcceptAdministratorInvitation` Alle IAM-Richtlinien, die speziell den Zugriff auf diese Funktion regeln, müssen weiterhin verwendet `AcceptInvitation` werden. Sie sollten Ihre Richtlinien auch ergänzen`AcceptAdministratorInvitation`, um sicherzustellen, dass nach Beginn der Nutzung `AcceptAdministratorInvitation` der Konsole die richtigen Berechtigungen vorhanden sind.

## Eine Einladung ablehnen
<a name="securityhub-decline-invitation"></a>

Sie können eine Einladung als Security Hub CSPM-Mitgliedskonto ablehnen. Wenn Sie eine Einladung in der Security Hub CSPM-Konsole ablehnen, wird Ihr Konto in der Liste der **Mitgliedskonten** des Administratorkontos als Signiert markiert. Der Status **Kündigt** wird nur angezeigt, wenn Sie sich mit dem Administratorkonto bei der Security Hub CSPM-Konsole anmelden. Die Einladung bleibt jedoch unverändert in der Konsole für das Mitgliedskonto, bis Sie sich beim Administratorkonto anmelden und die Einladung löschen.

Um eine Einladung abzulehnen, müssen Sie sich bei dem Mitgliedskonto anmelden, das die Einladung erhalten hat.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um eine Einladung als Mitgliedskonto abzulehnen.

------
#### [ Security Hub CSPM console ]

**Um eine Einladung zur Mitgliedschaft abzulehnen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich **Einstellungen** und dann Konten aus.**

1. Wählen Sie im Abschnitt **Administratorkonto** die Option **Einladung ablehnen** aus.

------
#### [ Security Hub CSPM API ]

**Um eine Einladung zur Mitgliedschaft abzulehnen**

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html)API auf. Sie müssen die AWS-Konto ID des Administratorkontos angeben, das die Einladung ausgestellt hat. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html)Vorgang, um Informationen zu Ihren Einladungen anzuzeigen.

------
#### [ AWS CLI ]

**Um eine Einladung zur Mitgliedschaft abzulehnen**

Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html) aus. Sie müssen die AWS-Konto ID des Administratorkontos angeben, das die Einladung ausgestellt hat. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html)Befehl aus, um Informationen zu Ihren Einladungen anzuzeigen.

```
aws securityhub decline-invitations --account-ids "<administratorAccountId>"
```

**Beispiel**

```
aws securityhub decline-invitations --account-ids "123456789012"
```

------

# Aufheben der Zuordnung von Mitgliedskonten in Security Hub CSPM
<a name="securityhub-disassociate-members"></a>

**Anmerkung**  
Wir empfehlen, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md).

Ein AWS Security Hub CSPM-Administratorkonto kann die Zuordnung zu einem Mitgliedskonto aufheben, sodass keine Ergebnisse mehr von diesem Konto empfangen und angezeigt werden. Sie müssen die Zuordnung zu einem Mitgliedskonto aufheben, bevor Sie es löschen können.

Wenn Sie die Zuordnung zu einem Mitgliedskonto aufheben, verbleibt es in Ihrer Liste der Mitgliedskonten mit dem Status **Entfernt (Getrennt)**. Ihr Konto wird aus den Administratorkontoinformationen für das Mitgliedskonto entfernt.

Um weiterhin Ergebnisse für das Konto zu erhalten, können Sie die Einladung erneut versenden. Um das Mitgliedskonto vollständig zu entfernen, können Sie das Mitgliedskonto löschen.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein manuell eingeladenes Mitgliedskonto vom Administratorkonto zu trennen.

------
#### [ Security Hub CSPM console ]

**So trennen Sie die Zuordnung eines manuell eingeladenen Mitgliedskontos**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des Administratorkontos an.

1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Konfiguration** aus.

1. Wählen Sie im Abschnitt **Konten** die Konten aus, deren Verknüpfung Sie aufheben möchten.

1. Wählen Sie „**Aktionen**“ und anschließend „Konto **trennen“.**

------
#### [ Security Hub CSPM API ]

**Um die Verbindung zu einem manuell eingeladenen Mitgliedskonto zu trennen**

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API vom Administratorkonto aus auf. Sie müssen die AWS-Konto IDs Mitgliedskonten angeben, deren Verknüpfung Sie aufheben möchten. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)Vorgang, um eine Liste der Mitgliedskonten anzuzeigen.

------
#### [ AWS CLI ]

**Um die Zuordnung zu einem manuell eingeladenen Mitgliedskonto aufzuheben**

Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html)Befehl vom Administratorkonto aus. Sie müssen die AWS-Konto IDs Mitgliedskonten angeben, deren Verknüpfung Sie aufheben möchten. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html)Befehl aus, um eine Liste der Mitgliedskonten anzuzeigen.

```
aws securityhub disassociate-members --account-ids <accountIds>
```

**Beispiel**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

# Löschen von Mitgliedskonten in Security Hub CSPM
<a name="securityhub-delete-member-accounts"></a>

**Anmerkung**  
Wir empfehlen, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md).

Als AWS Security Hub CSPM-Administratorkonto können Sie Mitgliedskonten löschen, die auf Einladung hinzugefügt wurden. Bevor Sie ein aktiviertes Konto löschen können, müssen Sie die Verknüpfung mit dem Konto aufheben.

Wenn Sie ein Mitgliedskonto löschen, wird es vollständig aus der Liste entfernt. Um die Mitgliedschaft des Kontos wiederherzustellen, müssen Sie es hinzufügen und erneut einladen, als ob es sich um ein völlig neues Mitgliedskonto handeln würde.

Sie können keine Konten löschen, die zu einer Organisation gehören und die mithilfe der Integration mit verwaltet werden AWS Organizations.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Löschen manuell eingeladener Mitgliedskonten.

------
#### [ Security Hub CSPM console ]

**Um ein manuell eingeladenes Mitgliedskonto zu löschen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit dem Administratorkonto an.

1. Wählen Sie im Navigationsbereich **Einstellungen** und dann **Konfiguration** aus.

1. Wählen Sie den Tab **Einladungskonten** aus. Wählen Sie dann die Konten aus, die Sie löschen möchten.

1. Wählen Sie **Aktionen** und anschließend **Löschen** aus. Diese Option ist nur verfügbar, wenn Sie die Kontoverknüpfung aufgehoben haben. Sie müssen die Zuordnung zu einem Mitgliedskonto aufheben, bevor es gelöscht werden kann.

------
#### [ Security Hub CSPM API ]

**Um ein manuell eingeladenes Mitgliedskonto zu löschen**

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html)API vom Administratorkonto aus auf. Sie müssen die AWS-Konto IDs Mitgliedskonten angeben, die Sie löschen möchten. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)API auf, um die Liste der Mitgliedskonten abzurufen.

------
#### [ AWS CLI ]

**Um ein manuell eingeladenes Mitgliedskonto zu löschen**

Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html)Befehl vom Administratorkonto aus. Sie müssen die AWS-Konto IDs Mitgliedskonten angeben, die Sie löschen möchten. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html)Befehl aus, um die Liste der Mitgliedskonten abzurufen.

```
aws securityhub delete-members --account-ids <memberAccountIDs>
```

**Beispiel**

```
aws securityhub delete-members --account-ids "123456789111" "123456789222"
```

------

# Trennung von einem Security Hub CSPM-Administratorkonto
<a name="securityhub-disassociate-from-admin"></a>

**Anmerkung**  
Wir empfehlen, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md).

Wenn Ihr Konto auf Einladung als AWS Security Hub CSPM-Mitgliedskonto hinzugefügt wurde, können Sie die Verbindung zwischen dem Mitgliedskonto und dem Administratorkonto trennen. Nachdem Sie die Zuordnung zu einem Mitgliedskonto aufgehoben haben, sendet Security Hub CSPM keine Ergebnisse aus dem Konto an das Administratorkonto.

Mitgliedskonten, die mithilfe der Integration mit verwaltet werden, AWS Organizations können ihre Konten nicht vom Administratorkonto trennen. Nur der delegierte Security Hub CSPM-Administrator kann die Zuordnung von Mitgliedskonten aufheben, die mit Organizations verwaltet werden.

**Wenn Sie die Verbindung zu Ihrem Administratorkonto trennen, verbleibt Ihr Konto in der Mitgliederliste des Administratorkontos mit dem Status Kündigt.** Das Administratorkonto erhält jedoch keine Ergebnisse für Ihr Konto.

Nachdem Sie sich vom Administratorkonto getrennt haben, bleibt die Einladung, Mitglied zu werden, weiterhin bestehen. Sie können die Einladung in future erneut annehmen.

------
#### [ Security Hub CSPM console ]

**Um die Verbindung zu Ihrem Administratorkonto zu trennen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich **Einstellungen** und dann Konten aus.**

1. Deaktivieren Sie im Abschnitt **Administratorkonto** die Option **Annehmen** und wählen Sie dann **Aktualisieren** aus.

------
#### [ Security Hub CSPM API ]

**Um die Verbindung zu Ihrem Administratorkonto zu trennen**

Rufen Sie die API auf [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html).

------
#### [ AWS CLI ]

**Um die Verbindung zu Ihrem Administratorkonto zu trennen**

Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html) aus.

```
aws securityhub disassociate-from-administrator-account
```

------

**Anmerkung**  
Die Security Hub CSPM-Konsole wird weiterhin verwendet. `DisassociateFromMasterAccount` Sie wird irgendwann auf Verwendung umgestellt. `DisassociateFromAdministratorAccount` Alle IAM-Richtlinien, die speziell den Zugriff auf diese Funktion regeln, müssen weiterhin verwendet `DisassociateFromMasterAccount` werden. Sie sollten Ihre Richtlinien auch ergänzen`DisassociateFromAdministratorAccount`, um sicherzustellen, dass nach Beginn der Nutzung `DisassociateFromAdministratorAccount` der Konsole die richtigen Berechtigungen vorhanden sind.

# Umstellung auf Organizations zur Verwaltung von Konten in Security Hub CSPM
<a name="accounts-transition-to-orgs"></a>

Wenn Sie Konten manuell in AWS Security Hub CSPM verwalten, müssen Sie potenzielle Mitgliedskonten einladen und jedes Mitgliedskonto in jedem Konto separat konfigurieren. AWS-Region

Durch die Integration von Security Hub CSPM und AWS Organizations können Sie das Senden von Einladungen überflüssig machen und mehr Kontrolle darüber gewinnen, wie Security Hub CSPM in Ihrem Unternehmen konfiguriert und angepasst wird. Aus diesem Grund empfehlen wir, AWS Organizations anstelle von Security Hub CSPM-Einladungen zur Verwaltung Ihrer Mitgliedskonten zu verwenden. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md).

Es ist möglich, einen kombinierten Ansatz zu verwenden, bei dem Sie die AWS Organizations Integration verwenden, aber auch Konten außerhalb Ihrer Organisation manuell einladen. Wir empfehlen jedoch, ausschließlich die Organizations-Integration zu verwenden. Die [zentrale Konfiguration](central-configuration-intro.md), eine Funktion, mit der Sie Security Hub CSPM über mehrere Konten und Regionen hinweg verwalten können, ist nur bei der Integration mit Organizations verfügbar.

In diesem Abschnitt wird beschrieben, wie Sie von der manuellen Kontoverwaltung auf Einladungsbasis zur Verwaltung von Konten mit übergehen können. AWS Organizations

## Integration von Security Hub CSPM mit AWS Organizations
<a name="transition-activate-orgs-integration"></a>

Zunächst müssen Sie Security Hub CSPM und integrieren. AWS Organizations

Sie können diese Dienste integrieren, indem Sie die folgenden Schritte ausführen:
+ Erstellen Sie eine Organisation in AWS Organizations. Anweisungen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Organisation erstellen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html#create-org).
+ Geben Sie im Verwaltungskonto Organizations ein delegiertes Security Hub-CSPM-Administratorkonto an.

**Anmerkung**  
Das Organisationsverwaltungskonto *kann nicht* als DA-Konto festgelegt werden.

Detaillierte Anweisungen finden Sie unter [Integration von Security Hub CSPM mit AWS Organizations](designate-orgs-admin-account.md).

Indem Sie die vorherigen Schritte ausführen, gewähren Sie [vertrauenswürdigen Zugriff](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html#integrate-enable-ta-securityhub) für Security Hub CSPM in. AWS Organizations Dadurch wird auch Security Hub CSPM in der aktuellen Version AWS-Region für das delegierte Administratorkonto aktiviert.

Der delegierte Administrator kann die Organisation in Security Hub CSPM verwalten, indem er in erster Linie die Konten der Organisation als Security Hub CSPM-Mitgliedskonten hinzufügt. Der Administrator kann auch auf bestimmte Security Hub CSPM-Einstellungen, Daten und Ressourcen für diese Konten zugreifen.

Wenn Sie zur Kontoverwaltung mit Organizations wechseln, werden Konten, die auf Einladung basieren, nicht automatisch zu Security Hub CSPM-Mitgliedern. Nur die Konten, die Sie zu Ihrer neuen Organisation hinzufügen, können Security Hub CSPM-Mitglieder werden.

Nach der Aktivierung der Integration können Sie Konten bei Organizations verwalten. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md). Die Kontoverwaltung variiert je nach Konfigurationstyp Ihrer Organisation.

# Zulässige Aktionen von Administrator- und Mitgliedskonten in Security Hub CSPM
<a name="securityhub-accounts-allowed-actions"></a>

Administrator- und Mitgliedskonten haben Zugriff auf die in den folgenden Tabellen aufgeführten AWS Security Hub CSPM-Aktionen. In den Tabellen haben die Werte die folgenden Bedeutungen:
+ **Beliebig —** Das Konto kann die Aktion für jedes Mitgliedskonto unter demselben Administrator ausführen.
+ **Aktuell —** Das Konto kann die Aktion nur für sich selbst ausführen (das Konto, bei dem Sie derzeit angemeldet sind).
+ **Dash —** Zeigt an, dass das Konto die Aktion nicht ausführen kann.

Wie in den Tabellen angegeben, hängen die zulässigen Aktionen davon ab, ob Sie eine Integration vornehmen AWS Organizations und welchen Konfigurationstyp Ihre Organisation verwendet. Informationen zum Unterschied zwischen zentraler und lokaler Konfiguration finden Sie unter[Konten verwalten mit AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview).

Security Hub CSPM kopiert die Ergebnisse des Mitgliedskontos nicht in das Administratorkonto. In Security Hub CSPM werden alle Ergebnisse für ein bestimmtes Konto in einer bestimmten Region erfasst. In jeder Region kann das Administratorkonto die Ergebnisse für seine Mitgliedskonten in dieser Region einsehen und verwalten.

Wenn Sie eine Aggregationsregion festlegen, kann das Administratorkonto die Ergebnisse von Mitgliedskonten aus verknüpften Regionen anzeigen und verwalten, die in die Aggregationsregion repliziert werden. [Weitere Informationen zur regionsübergreifenden Aggregation finden Sie unter Regionsübergreifende Aggregation.](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)

In den folgenden Tabellen werden die Standardberechtigungen für Administrator- und Mitgliedskonten angegeben. Sie können benutzerdefinierte IAM-Richtlinien verwenden, um den Zugriff auf die Features und Funktionen von Security Hub CSPM weiter einzuschränken. Anleitungen und Beispiele finden Sie im Blogbeitrag [Aligning IAM-Policies to user personas for AWS Security](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/) Hub CSPM.

## Zulässige Aktionen, wenn Sie in Organizations integrieren und die zentrale Konfiguration verwenden
<a name="central-configuration-allowed-actions"></a>

Administrator- und Mitgliedskonten können wie folgt auf Security Hub CSPM-Aktionen zugreifen, wenn Sie eine Integration mit Organizations durchführen und die zentrale Konfiguration verwenden.


|  Action  |  Delegiertes Security Hub-CSPM-Administratorkonto  |  Zentral verwaltetes Mitgliedskonto  |  Selbstverwaltetes Mitgliedskonto  | 
| --- | --- | --- | --- | 
|  Security Hub CSPM-Konfigurationsrichtlinien erstellen und verwalten  |  Für selbst und zentral verwaltete Konten  |  –  |  –  | 
|  Organisationskonten anzeigen  |  Beliebig  |  –  |  –  | 
|  Mitgliedskonto trennen  |  Beliebig  |  –  |  –  | 
|  Mitgliedskonto löschen  |  Jedes Konto, das nicht zur Organisation gehört  |  –  |  –  | 
|  Security Hub CSPM deaktivieren  |  Für Girokonten und zentral verwaltete Konten  |  –  |  Aktuell (muss vom Administratorkonto getrennt werden)  | 
|  Ergebnisse und Fundverlauf anzeigen  |  Beliebig  |  Aktuell  |  Aktuell  | 
|  Ergebnisse aktualisieren  |  Beliebig  |  Aktuell  |  Aktuell  | 
|  Insight-Ergebnisse anzeigen  |  Beliebig  |  Aktuell  |  Aktuell  | 
|  Kontrolldetails anzeigen  |  Beliebig  |  Aktuell  |  Aktuell  | 
|  Schalten Sie konsolidierte Kontrollergebnisse ein oder aus  |  Beliebig  |  –  |  –  | 
|  Aktivieren und deaktivieren Sie Standards  |  Für Girokonten und zentral verwaltete Konten  |  –  |  Aktuell  | 
|  Steuerungen aktivieren und deaktivieren  |  Für Girokonten und zentral verwaltete Konten  |  –  |  Aktuell  | 
|  Integrationen aktivieren und deaktivieren  |  Aktuell  |  Aktuell  |  Aktuell  | 
|  Konfigurieren Sie die regionsübergreifende Aggregation  |  Beliebig  |  –  |  –  | 
|  Wählen Sie die Heimatregion und die verknüpften Regionen  |  Beliebig (Sie müssen die zentrale Konfiguration beenden und neu starten, um die Heimatregion zu ändern)  |  –  |  –  | 
|  Konfigurieren Sie benutzerdefinierte Aktionen  |  Aktuell  |  Aktuell  |  Aktuell  | 
|  Konfigurieren Sie Automatisierungsregeln  |  Beliebig  |  –  |  –  | 
|  Konfigurieren Sie benutzerdefinierte Einblicke  |  Aktuell  |  Aktuell  |  Aktuell  | 

## Zulässige Aktionen, wenn Sie eine Integration mit Organizations durchführen und die lokale Konfiguration verwenden
<a name="orgs-allowed-actions"></a>

Administrator- und Mitgliedskonten können wie folgt auf Security Hub CSPM-Aktionen zugreifen, wenn Sie eine Integration mit Organizations durchführen und die lokale Konfiguration verwenden.


|  Action  |  Delegiertes Security Hub-CSPM-Administratorkonto  |  Mitgliedskonto  | 
| --- | --- | --- | 
|  Security Hub CSPM-Konfigurationsrichtlinien erstellen und verwalten  |  –  |  –  | 
|  Organisationskonten anzeigen  |  Beliebig  |  –  | 
|  Mitgliedskonto trennen  |  Beliebig  |  –  | 
|  Mitgliedskonto löschen  |  –  |  –  | 
|  Security Hub CSPM deaktivieren  |  –  |  Aktuell (wenn das Konto vom delegierten Administrator getrennt ist)  | 
|  Ergebnisse und Fundverlauf anzeigen  |  Beliebig  |  Aktuell  | 
|  Ergebnisse aktualisieren  |  Beliebig  |  Aktuell  | 
|  Insight-Ergebnisse anzeigen  |  Beliebig  |  Aktuell  | 
|  Kontrolldetails anzeigen  |  Beliebig  |  Aktuell  | 
|  Schalten Sie konsolidierte Kontrollergebnisse ein oder aus  |  Beliebig  |  –  | 
|  Aktivieren und deaktivieren Sie Standards  |  Aktuell  |  Aktuell  | 
|  Automatisches Aktivieren von Security Hub CSPM und Standardstandards in neuen Unternehmenskonten  |  Für Girokonten und neue Organisationskonten  |  –  | 
|  Steuerelemente aktivieren und deaktivieren  |  Aktuell  |  Aktuell  | 
|  Aktiviere und deaktiviere Integrationen  |  Aktuell  |  Aktuell  | 
|  Konfigurieren Sie die regionsübergreifende Aggregation  |  Beliebig  |  –  | 
|  Konfigurieren Sie benutzerdefinierte Aktionen  |  Aktuell  |  Aktuell  | 
|  Konfigurieren Sie Automatisierungsregeln  |  Beliebig  |  –  | 
|  Konfigurieren Sie benutzerdefinierte Einblicke  |  Aktuell  |  Aktuell  | 

## Zulässige Aktionen für Konten, die auf Einladungen basieren
<a name="manual-allowed-actions"></a>

Administrator- und Mitgliedskonten können wie folgt auf Security Hub CSPM-Aktionen zugreifen, wenn Sie die einladungsbasierte Methode verwenden, um Konten manuell zu verwalten, anstatt sie zu integrieren. AWS Organizations


|  Action  |  Security Hub CSPM-Administratorkonto  |  Mitgliedskonto  | 
| --- | --- | --- | 
|  Security Hub CSPM-Konfigurationsrichtlinien erstellen und verwalten  |  –  |  –  | 
|  Organisationskonten anzeigen  |  Beliebig  |  –  | 
|  Mitgliedskonto trennen  |  Beliebig  |  Aktuell  | 
|  Mitgliedskonto löschen  |  Beliebig  |  –  | 
|  Security Hub CSPM deaktivieren  |  Aktuell (wenn keine aktivierten Mitgliedskonten vorhanden sind)  |  Aktuell (wenn das Konto vom Administratorkonto getrennt ist)  | 
|  Ergebnisse und Fundverlauf anzeigen  |  Beliebig  |  Aktuell  | 
|  Ergebnisse aktualisieren  |  Beliebig  |  Aktuell  | 
|  Insight-Ergebnisse anzeigen  |  Beliebig  |  Aktuell  | 
|  Kontrolldetails anzeigen  |  Beliebig  |  Aktuell  | 
|  Schalten Sie konsolidierte Kontrollergebnisse ein oder aus  |  Beliebig  |  –  | 
|  Aktivieren und deaktivieren Sie Standards  |  Aktuell  |  Aktuell  | 
|  Automatisches Aktivieren von Security Hub CSPM und Standardstandards in neuen Unternehmenskonten  |  –  |  –  | 
|  Steuerungen aktivieren und deaktivieren  |  Aktuell  |  Aktuell  | 
|  Aktiviere und deaktiviere Integrationen  |  Aktuell  |  Aktuell  | 
|  Konfigurieren Sie die regionsübergreifende Aggregation  |  Beliebig  |  –  | 
|  Konfigurieren Sie benutzerdefinierte Aktionen  |  Aktuell  |  Aktuell  | 
|  Konfigurieren Sie Automatisierungsregeln  |  Beliebig  |  –  | 
|  Konfigurieren Sie benutzerdefinierte Einblicke  |  Aktuell  |  Aktuell  | 

# Auswirkung von Kontoaktionen auf Security Hub CSPM-Daten
<a name="securityhub-data-retention"></a>

Diese Kontoaktionen haben die folgenden Auswirkungen auf die AWS Security Hub CSPM-Daten.

## Security Hub CSPM deaktiviert
<a name="securityhub-effects-disable-securityhub"></a>

Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, kann der delegierte Administrator (DA) Security Hub CSPM-Konfigurationsrichtlinien erstellen, die AWS Security Hub CSPM in bestimmten Konten und Organisationseinheiten deaktivieren (). OUs In diesem Fall ist Security Hub CSPM in den angegebenen Konten sowie OUs in Ihrer Heimatregion und allen verknüpften Regionen deaktiviert. Wenn Sie die zentrale Konfiguration nicht verwenden, müssen Sie Security Hub CSPM in jedem Konto und jeder Region, in der Sie es aktiviert haben, separat deaktivieren. Sie können die zentrale Konfiguration nicht verwenden, wenn Security Hub CSPM im DA-Konto deaktiviert ist.

Für das Administratorkonto werden keine Ergebnisse generiert oder aktualisiert, wenn Security Hub CSPM im Administratorkonto deaktiviert ist. Bestehende archivierte Ergebnisse werden nach 30 Tagen gelöscht. Bestehende aktive Ergebnisse werden nach 90 Tagen gelöscht.

Integrationen mit anderen AWS-Services werden entfernt.

Aktivierte Sicherheitsstandards und Kontrollen sind deaktiviert.

Andere Security Hub CSPM-Daten und -Einstellungen, einschließlich benutzerdefinierter Aktionen, Einblicke und Abonnements für Produkte von Drittanbietern, werden 90 Tage lang aufbewahrt.

## Das Mitgliedskonto wurde vom Administratorkonto getrennt
<a name="securityhub-effects-member-disassociation"></a>

Wenn die Verknüpfung eines Mitgliedskontos mit dem Administratorkonto getrennt wird, verliert das Administratorkonto die Berechtigung, Ergebnisse im Mitgliedskonto einzusehen. Security Hub CSPM ist jedoch weiterhin in beiden Konten aktiviert.

Wenn Sie die zentrale Konfiguration verwenden, kann der DA Security Hub CSPM nicht für ein Mitgliedskonto konfigurieren, das vom DA-Konto getrennt ist.

Benutzerdefinierte Einstellungen oder Integrationen, die für das Administratorkonto definiert sind, werden nicht auf Ergebnisse aus dem früheren Mitgliedskonto angewendet. Wenn die Konten beispielsweise getrennt wurden, haben Sie möglicherweise eine benutzerdefinierte Aktion im Administratorkonto, die als Ereignismuster in einer EventBridge Amazon-Regel verwendet wird. Diese benutzerdefinierte Aktion kann jedoch nicht im Mitgliedskonto verwendet werden.

**In der **Kontenliste** für das Security Hub CSPM-Administratorkonto hat ein entferntes Konto den Status Getrennt.**

## Das Mitgliedskonto wurde aus einer Organisation entfernt
<a name="securityhub-effects-member-leaves-org"></a>

Wenn ein Mitgliedskonto aus einer Organisation entfernt wird, verliert das Security Hub CSPM-Administratorkonto die Berechtigung, Ergebnisse im Mitgliedskonto einzusehen. Security Hub CSPM ist jedoch weiterhin in beiden Konten mit denselben Einstellungen aktiviert, die sie vor dem Entfernen hatten.

Wenn Sie die zentrale Konfiguration verwenden, können Sie Security Hub CSPM nicht für ein Mitgliedskonto konfigurieren, nachdem es aus der Organisation entfernt wurde, zu der der delegierte Administrator gehört. Das Konto behält jedoch die Einstellungen bei, die es vor der Entfernung hatte, sofern Sie sie nicht manuell ändern.

**In der **Kontenliste** für das Security Hub CSPM-Administratorkonto hat ein entferntes Konto den Status Gelöscht.**

## Das Konto ist gesperrt
<a name="securityhub-effects-account-suspended"></a>

Wenn ein gesperrt AWS-Konto wird, verliert das Konto die Erlaubnis, seine Ergebnisse in Security Hub CSPM einzusehen. Für dieses Konto werden keine Ergebnisse generiert oder aktualisiert. Das Administratorkonto für ein gesperrtes Konto kann die vorhandenen Ergebnisse für das Konto einsehen.

Bei einem Unternehmenskonto kann sich der Status des Mitgliedskontos auch in **Konto gesperrt** ändern. Dies ist der Fall, wenn das Konto gleichzeitig gesperrt wird, während das Administratorkonto versucht, das Konto zu aktivieren. Das Administratorkonto für ein **gesperrtes** Konto kann die Ergebnisse für dieses Konto nicht einsehen. Andernfalls hat der Status „Gesperrt“ keinen Einfluss auf den Status des Mitgliedskontos.

Wenn Sie die zentrale Konfiguration verwenden, schlägt die Richtlinienzuweisung fehl, wenn der delegierte Administrator versucht, einem gesperrten Konto eine Konfigurationsrichtlinie zuzuordnen.

Nach 90 Tagen wird das Konto entweder gekündigt oder reaktiviert. Wenn das Konto reaktiviert wird, werden seine Security Hub CSPM-Berechtigungen wiederhergestellt. Wenn das Mitgliedskonto den Status **Konto gesperrt** hat, muss das Administratorkonto das Konto manuell aktivieren.

## Das Konto ist geschlossen
<a name="securityhub-effects-account-deletion"></a>

Wenn ein geschlossen AWS-Konto wird, reagiert Security Hub CSPM wie folgt auf das Schließen.

Wenn es sich bei dem Konto um ein Security Hub CSPM-Administratorkonto handelt, wird es als Administratorkonto entfernt und alle Mitgliedskonten werden entfernt. Wenn es sich bei dem Konto um ein Mitgliedskonto handelt, wird es getrennt und als Mitglied aus dem Security Hub CSPM-Administratorkonto entfernt.

Security Hub CSPM bewahrt bestehende archivierte Ergebnisse 30 Tage lang im Konto auf. Bei einem Kontrollbefund basiert die Berechnung von 30 Tagen auf dem Wert für das `UpdatedAt` Feld, in dem das Ergebnis festgestellt wurde. Bei einem anderen Befundtyp basiert die Berechnung auf dem Wert für das `ProcessedAt` Feld `UpdatedAt` oder des Ergebnisses, je nachdem, welches Datum das späteste ist. Nach Ablauf dieser 30-tägigen Frist löscht Security Hub CSPM den Befund dauerhaft aus dem Konto.

Security Hub CSPM speichert bestehende aktive Ergebnisse 90 Tage lang im Konto. Bei einem Kontrollbefund basiert die Berechnung von 90 Tagen auf dem Wert für das `UpdatedAt` Feld, in dem das Ergebnis festgestellt wurde. Bei einem anderen Befundtyp basiert die Berechnung auf dem Wert für das `ProcessedAt` Feld `UpdatedAt` oder des Ergebnisses, je nachdem, welches Datum das späteste ist. Am Ende dieses 90-Tage-Zeitraums löscht Security Hub CSPM den Befund dauerhaft aus dem Konto.

Zur längerfristigen Aufbewahrung vorhandener Ergebnisse können Sie die Ergebnisse in einen S3-Bucket exportieren. Sie können dies tun, indem Sie eine benutzerdefinierte Aktion mit einer EventBridge Amazon-Regel verwenden. Weitere Informationen finden Sie unter [Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen](securityhub-cloudwatch-events.md).

**Wichtig**  
Für Kunden, die sich angemeldet haben AWS GovCloud (US) Regions, erstellen Sie eine Sicherungskopie und löschen Sie dann Ihre Versicherungsdaten und andere Kontoressourcen, bevor Sie Ihr Konto schließen. Nachdem Sie Ihr Konto geschlossen haben, haben Sie keinen Zugriff mehr auf die Ressourcen und Daten.

Weitere Informationen finden Sie unter [Schließen](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) und AWS-Konto im *AWS -Kontenverwaltung Referenzhandbuch*.

# Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM
<a name="finding-aggregation"></a>

**Anmerkung**  
*Die *Aggregationsregion* wird jetzt als Heimatregion bezeichnet.* Einige Security Hub CSPM-API-Operationen verwenden immer noch den älteren Begriff Aggregationsregion.

Durch die Verwendung der regionsübergreifenden Aggregation in AWS Security Hub CSPM können Sie Ergebnisse zusammenfassen, Updates und Erkenntnisse finden, den Compliance-Status und Sicherheitsbewertungen von mehreren AWS-Regionen zu einer einzigen Heimatregion kontrollieren. Anschließend können Sie all diese Daten von der Heimatregion aus verwalten.

Angenommen, Sie legen USA Ost (Nord-Virginia) als Heimatregion und USA West (Oregon) und USA West (Nordkalifornien) als verknüpfte Regionen fest. Wenn Sie die **Ergebnisseite** in USA Ost (Nord-Virginia) aufrufen, sehen Sie die Ergebnisse aus allen drei Regionen. Aktualisierungen dieser Ergebnisse spiegeln sich auch in allen drei Regionen wider.

**Anmerkung**  
In AWS GovCloud (US) wird die regionsübergreifende Aggregation nur für Ergebnisse, Aktualisierungen und Erkenntnisse in allen Regionen unterstützt. AWS GovCloud (US) Insbesondere können Sie nur Ergebnisse, Aktualisierungen und Erkenntnisse zwischen AWS GovCloud (USA-Ost) und AWS GovCloud (US-West) zusammenfassen. In den Regionen China wird die regionsübergreifende Aggregation nur für Ergebnisse, Aktualisierungen und Erkenntnisse in den Regionen China unterstützt. Insbesondere können Sie nur Ergebnisse, Aktualisierungen und Erkenntnisse zwischen China (Peking) und China (Ningxia) zusammenfassen.

Wenn ein Steuerelement in einer verknüpften Region aktiviert, aber in der Heimatregion deaktiviert ist, können Sie den Konformitätsstatus des Steuerelements in der Heimatregion anzeigen, aber Sie können dieses Steuerelement nicht von der Heimatregion aus aktivieren oder deaktivieren. Die Ausnahme ist, wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden. Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Security Hub CSPM-Administrator Steuerungen in der Heimatregion und verknüpften Regionen von der Heimatregion aus konfigurieren.

Wenn Sie eine Heimatregion festgelegt haben, berücksichtigen die [Sicherheitswerte](standards-security-score.md) den Kontrollstatus in allen verknüpfte Regionen. Um regionsübergreifende Sicherheitsbewertungen und Compliance-Status anzuzeigen, fügen Sie Ihrer IAM-Rolle, die Security Hub CSPM verwendet, die folgenden Berechtigungen hinzu:
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`

## Arten von Daten, die aggregiert sind
<a name="finding-aggregation-overview"></a>

Wenn die regionsübergreifende Aggregation mit einer oder mehreren verknüpften Regionen aktiviert ist, repliziert Security Hub CSPM die folgenden Daten aus den verknüpften Regionen in die Heimatregion. Dies geschieht in jedem Konto, für das die regionsübergreifende Aggregation aktiviert ist.
+ Ergebnisse
+ Insights
+ Kontrollieren Sie den Compliance-Status
+ Sicherheitswerte

Zusätzlich zu den neuen Daten in der vorherigen Liste repliziert Security Hub CSPM auch Aktualisierungen dieser Daten zwischen den verknüpften Regionen und der Heimatregion. Updates, die in einer verknüpften Region vorgenommen werden, werden in die Heimatregion repliziert. Aktualisierungen, die in der Heimatregion vorgenommen werden, werden zurück in die verknüpfte Region repliziert. Wenn es in der Heimatregion und der verknüpften Region widersprüchliche Aktualisierungen gibt, wird das neueste Update verwendet.

![\[Wenn die regionsübergreifende Aggregation aktiviert ist, repliziert Security Hub CSPM neue und aktualisierte Ergebnisse zwischen den verknüpften Regionen und der Heimatregion.\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/diagram-finding-aggregation.png)


Die regionsübergreifende Aggregation erhöht nicht die Kosten von Security Hub CSPM. Es fallen keine Gebühren an, wenn Security Hub CSPM neue Daten oder Updates repliziert.

In der Heimatregion bietet die **Übersichtsseite** einen Überblick über Ihre aktiven Ergebnisse in den verknüpften Regionen. Weitere Informationen finden Sie unter [Eine regionsübergreifende Zusammenfassung der Ergebnisse nach Schweregrad anzeigen](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-view-summary.html). In anderen Bereichen auf der **Übersichtsseite**, in denen Ergebnisse analysiert werden, werden ebenfalls Informationen aus allen verknüpften Regionen angezeigt.

Ihre Sicherheitswerte in der Heimatregion werden berechnet, indem die Anzahl der bestandenen Kontrollen mit der Anzahl der aktivierten Kontrollen in allen verknüpften Regionen verglichen wird. Wenn ein Steuerelement in mindestens einer verknüpften Region aktiviert ist, ist es außerdem auf den Detailseiten zu den **Sicherheitsstandards** der Heimatregion sichtbar. Der Konformitätsstatus der Kontrollen auf den Seiten mit den Standarddetails spiegelt die Ergebnisse der verknüpften Regionen wider. Wenn eine mit einer Kontrolle verknüpfte Sicherheitsüberprüfung in einer oder mehreren verknüpften Regionen fehlschlägt, wird der Konformitätsstatus dieser Kontrolle auf den Standarddetailseiten der Heimatregion als **Fehlgeschlagen** angezeigt. Die Anzahl der Sicherheitsüberprüfungen umfasst Ergebnisse aus allen verknüpften Regionen.

Security Hub CSPM aggregiert nur Daten aus Regionen, in denen Security Hub CSPM für ein Konto aktiviert ist. Security Hub CSPM wird nicht automatisch für ein Konto aktiviert, das auf der regionsübergreifenden Aggregationskonfiguration basiert.

Es ist möglich, die regionsübergreifende Aggregation zu aktivieren, ohne dass verknüpfte Regionen ausgewählt werden. In diesem Fall findet keine Datenreplikation statt.

## Aggregation für Administrator- und Mitgliedskonten
<a name="finding-aggregation-admin-member"></a>

Eigenständige Konten, Mitgliedskonten und Administratorkonten können die regionsübergreifende Aggregation konfigurieren. Falls von einem Administrator konfiguriert, ist das Vorhandensein des Administratorkontos unerlässlich, damit die regionsübergreifende Aggregation in verwalteten Konten funktioniert. Wenn das Administratorkonto entfernt oder von einem Mitgliedskonto getrennt wird, wird die regionsübergreifende Aggregation für das Mitgliedskonto beendet. Dies gilt auch dann, wenn für das Konto die regionsübergreifende Aggregation aktiviert war, bevor die Beziehung zwischen Administrator und Mitglied aufgenommen wurde.

Wenn ein Administratorkonto die regionsübergreifende Aggregation aktiviert, repliziert Security Hub CSPM die Daten, die das Administratorkonto in allen verknüpften Regionen generiert, in die Heimatregion. Darüber hinaus identifiziert Security Hub CSPM die Mitgliedskonten, die diesem Administrator zugeordnet sind, und jedes Mitgliedskonto erbt die regionsübergreifenden Aggregationseinstellungen des Administrators. Security Hub CSPM repliziert die Daten, die ein Mitgliedskonto in allen verknüpften Regionen generiert, in die Heimatregion.

Der Administrator kann von allen Mitgliedskonten in den verwalteten Regionen aus auf Sicherheitsergebnisse zugreifen und diese verwalten. Als Security Hub CSPM-Administrator müssen Sie jedoch in der Heimatregion angemeldet sein, um aggregierte Daten aus allen Mitgliedskonten und verknüpften Regionen einsehen zu können.

Als Security Hub CSPM-Mitgliedskonto müssen Sie in der Heimatregion angemeldet sein, um aggregierte Daten aus Ihrem Konto aus allen verknüpften Regionen einsehen zu können. Mitgliedskonten sind nicht berechtigt, Daten von anderen Mitgliedskonten einzusehen.

Ein Administratorkonto kann Mitgliedskonten manuell einladen oder als delegierter Administrator einer Organisation fungieren, in die integriert AWS Organizations ist. Bei einem [Mitgliedskonto mit manueller Einladung](account-management-manual.md) muss der Administrator das Konto aus der Heimatregion und allen verknüpften Regionen einladen, damit die regionsübergreifende Aggregation funktioniert. Darüber hinaus muss für das Mitgliedskonto Security Hub CSPM in der Heimatregion und allen verknüpften Regionen aktiviert sein, damit der Administrator die Ergebnisse des Mitgliedskontos einsehen kann. Wenn Sie die Heimatregion nicht für andere Zwecke verwenden, können Sie die Security Hub CSPM-Standards und -Integrationen in dieser Region deaktivieren, um Gebühren zu vermeiden.

Wenn Sie die regionsübergreifende Aggregation verwenden möchten und über mehrere Administratorkonten verfügen, empfehlen wir Ihnen, die folgenden bewährten Methoden zu befolgen:
+ Jedes Administratorkonto hat unterschiedliche Mitgliedskonten.
+ Jedes Administratorkonto hat in allen Regionen dieselben Mitgliedskonten.
+ Jedes Administratorkonto verwendet eine andere Heimatregion.

**Anmerkung**  
Informationen darüber, wie sich die regionsübergreifende Aggregation auf die zentrale Konfiguration auswirkt, finden Sie unter. [Auswirkungen der zentralen Konfiguration auf die regionsübergreifende Aggregation](aggregation-central-configuration.md)

# Auswirkungen der zentralen Konfiguration auf die regionsübergreifende Aggregation
<a name="aggregation-central-configuration"></a>

Die zentrale Konfiguration ist eine optionale Funktion in AWS Security Hub CSPM, die Sie verwenden können, wenn Sie sie integrieren. AWS Organizations Wenn Sie die zentrale Konfiguration verwenden, kann das delegierte Administratorkonto den Security Hub CSPM-Dienst, die Standards und Kontrollen für Konten und Organisationseinheiten (OU) in der Organisation konfigurieren. Um Konten und zu konfigurieren OUs, erstellt der delegierte Administrator Security Hub CSPM-Konfigurationsrichtlinien. Mithilfe von Konfigurationsrichtlinien kann definiert werden, ob Security Hub CSPM aktiviert oder deaktiviert ist und welche Standards und Kontrollen aktiviert sind. Der delegierte Administrator ordnet Konfigurationsrichtlinien bestimmten Konten oder dem Stammkonto (der gesamten Organisation) zu. OUs

Der delegierte Administrator kann Konfigurationsrichtlinien für die Organisation nur von der Heimatregion aus erstellen und verwalten. Darüber hinaus werden Konfigurationsrichtlinien in der Heimatregion und allen verknüpften Regionen wirksam. Sie können keine Konfigurationsrichtlinie erstellen, die nur in einigen verknüpften Regionen gilt und in anderen nicht. Informationen zur regionsübergreifenden Aggregation finden Sie unter [Regionsübergreifende](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) Aggregation.

Um die zentrale Konfiguration verwenden zu können, müssen Sie eine Heimatregion angeben. Optional können Sie eine oder mehrere Regionen als verknüpfte Regionen auswählen. Sie können sich auch dafür entscheiden, eine Heimatregion ohne verknüpfte Regionen festzulegen.

Eine Änderung Ihrer regionsübergreifenden Aggregationseinstellungen kann sich auf Ihre Konfigurationsrichtlinien auswirken. Wenn Sie eine verknüpfte Region hinzufügen, werden Ihre Konfigurationsrichtlinien in dieser Region wirksam. Wenn es sich bei der Region um eine [Opt-in-Region](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) handelt, muss die Region aktiviert sein, damit Ihre Konfigurationsrichtlinien dort wirksam werden. Umgekehrt sind die Konfigurationsrichtlinien in dieser Region nicht mehr wirksam, wenn Sie eine verknüpfte Region entfernen. In dieser Region behalten die Konten die Einstellungen bei, die sie hatten, als die verknüpfte Region entfernt wurde. Sie können diese Einstellungen ändern, müssen dies jedoch für jedes Konto und jede Region separat tun.

Wenn Sie die Heimatregion entfernen oder ändern, werden Ihre Konfigurationsrichtlinien und Richtlinienverknüpfungen gelöscht. Sie können in keiner Region mehr die zentrale Konfiguration verwenden oder Konfigurationsrichtlinien erstellen. Konten behalten die Einstellungen bei, die sie hatten, bevor die Heimatregion geändert oder entfernt wurde. Sie können diese Einstellungen jederzeit ändern. Da Sie die zentrale Konfiguration jedoch nicht mehr verwenden, müssen die Einstellungen für jedes Konto und jede Region separat geändert werden. Sie können die zentrale Konfiguration verwenden und erneut Konfigurationsrichtlinien erstellen, wenn Sie eine neue Heimatregion angeben.

Weitere Informationen zur zentralen Konfiguration finden Sie unter[Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

# Aktivierung der regionsübergreifenden Aggregation
<a name="finding-aggregation-enable"></a>

**Anmerkung**  
*Die *Aggregationsregion* wird jetzt als Heimatregion bezeichnet.* Einige Security Hub CSPM-API-Operationen verwenden immer noch den älteren Begriff Aggregationsregion.

Sie müssen die regionsübergreifende Aggregation von der Region aus aktivieren AWS-Region , die Sie als Heimatregion festlegen möchten.

Um die regionsübergreifende Aggregation zu aktivieren, erstellen Sie eine Security Hub-CSPM-Ressource, die als Finding-Aggregator bezeichnet wird. Die Suchaggregator-Ressource gibt Ihre Heimatregion und verknüpfte Regionen (falls vorhanden) an.

Sie können keine Region AWS-Region , die standardmäßig deaktiviert ist, als Heimatregion verwenden. Eine Liste der Regionen, die standardmäßig deaktiviert sind, finden Sie unter [Aktivieren einer Region](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) in der *Allgemeine AWS-Referenz*.

Wenn Sie die regionsübergreifende Aggregation aktivieren, können Sie bei Bedarf eine oder mehrere verknüpfte Regionen angeben. Sie können auch wählen, ob neue Regionen automatisch verknüpft werden sollen, wenn Security Hub CSPM sie zu unterstützen beginnt und Sie sich für sie entschieden haben.

------
#### [ Security Hub CSPM console ]

**Um die regionsübergreifende Aggregation zu aktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Melden Sie sich mit dem AWS-Region Selektor bei der Region an, die Sie als Aggregationsregion verwenden möchten.

1. **Wählen Sie im Security Hub CSPM-Navigationsmenü **Einstellungen** und dann Regionen aus.**

1. Wählen Sie unter **Suchaggregation die** Option Suchaggregation **konfigurieren** aus.

   Standardmäßig ist die Heimatregion auf **Keine Aggregationsregion** gesetzt.

1. Wählen Sie unter **Aggregationsregion** die Option aus, um die aktuelle Region als Heimatregion festzulegen.

1. Wählen Sie optional für **Verknüpfte Regionen** die Regionen aus, aus denen Daten aggregiert werden sollen.

1. Um Daten aus neuen Regionen in der Partition automatisch zu aggregieren, sofern Security Hub CSPM sie unterstützt und Sie sich für sie entscheiden, wählen Sie **future Regionen verknüpfen** aus.

1. Wählen Sie **Speichern**.

------
#### [ Security Hub CSPM API ]

Verwenden Sie von der Region aus, die Sie als Heimatregion verwenden möchten, den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html)Betrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den [create-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-finding-aggregator.html)Befehl aus.

Wählen Sie unter `RegionLinkingMode` eine der folgenden Optionen aus:
+ `ALL_REGIONS`— Security Hub CSPM aggregiert Daten aus allen Regionen. Security Hub CSPM aggregiert auch Daten aus neuen Regionen, sobald diese unterstützt werden und Sie sich für sie entscheiden.
+ `ALL_REGIONS_EXCEPT_SPECIFIED`— Security Hub CSPM aggregiert Daten aus allen Regionen mit Ausnahme der Regionen, die Sie ausschließen möchten. Security Hub CSPM aggregiert auch Daten aus neuen Regionen, sobald diese unterstützt werden und Sie sich für sie entscheiden. Wird verwendet`Regions`, um die Liste der Regionen bereitzustellen, die von der Aggregation ausgeschlossen werden sollen.
+ `SPECIFIED_REGIONS`— Security Hub CSPM aggregiert Daten aus einer ausgewählten Liste von Regionen. Security Hub CSPM aggregiert Daten aus neuen Regionen nicht automatisch. Wird verwendet`Regions`, um die Liste der Regionen bereitzustellen, aus denen aggregiert werden soll.
+ `NO_REGIONS`— Security Hub CSPM aggregiert keine Daten, da Sie keine verknüpften Regionen auswählen.

Im folgenden Beispiel wird die regionsübergreifende Aggregation konfiguriert. Die Heimatregion ist USA Ost (Nord-Virginia). Die verbundenen Regionen sind USA West (Nordkalifornien) und USA West (Oregon). Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub create-finding-aggregator --region us-east-1 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# Überprüfung der Einstellungen für die regionsübergreifende Aggregation
<a name="finding-aggregation-view-config"></a>

**Anmerkung**  
Die *Aggregationsregion* wird jetzt als *Heimatregion* bezeichnet. Einige Security Hub CSPM-API-Operationen verwenden immer noch den älteren Begriff Aggregationsregion.

Sie können die aktuelle regionsübergreifende Aggregationskonfiguration in AWS Security Hub CSPM von jedem aus anzeigen. AWS-Region Die Konfiguration umfasst die Heimatregion, die verknüpften Regionen (falls vorhanden) und ob neue Regionen automatisch verknüpft werden sollen, da Security Hub CSPM sie unterstützt.

Mitgliedskonten können die regionsübergreifenden Aggregationseinstellungen einsehen, die das Administratorkonto konfiguriert hat.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Ihre aktuellen regionsübergreifenden Aggregationseinstellungen anzuzeigen.

------
#### [ Security Hub CSPM console ]

**So zeigen Sie regionsübergreifende Aggregationseinstellungen an (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich **Einstellungen** und dann die Registerkarte **Regionen**.

Wenn die regionsübergreifende Aggregation nicht aktiviert ist, wird auf der Registerkarte **Regionen** die Option zur Aktivierung der regionsübergreifenden Aggregation angezeigt. Nur Administratorkonten und eigenständige Konten können die regionsübergreifende Aggregation aktivieren.

Wenn die regionsübergreifende Aggregation aktiviert ist, werden auf der Registerkarte **Regionen die folgenden** Informationen angezeigt:
+ Die Heimatregion
+ Ob Ergebnisse, Erkenntnisse, Kontrollstatus und Sicherheitswerte aus neuen Regionen, die Security Hub CSPM unterstützt und für die Sie sich entscheiden, automatisch aggregiert werden sollen
+ Die Liste der verknüpften Regionen (falls welche ausgewählt wurden)

------
#### [ Security Hub CSPM API ]

**So überprüfen Sie die Einstellungen für die regionsübergreifende Aggregation (Security Hub CSPM API)**

Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html)Betrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den [get-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-aggregator.html)Befehl aus.

Wenn Sie die Anfrage stellen, geben Sie den Suchaggregator-ARN an. Verwenden Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)Operation oder den [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html)Befehl, um den Suchaggregator-ARN abzurufen.

Das folgende Beispiel zeigt die regionsübergreifenden Aggregationseinstellungen für den angegebenen Suchaggregator-ARN. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1), um die Lesbarkeit zu verbessern

```
$aws securityhub get-finding-aggregator --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
```

------

# Aktualisierung der regionsübergreifenden Aggregationseinstellungen
<a name="finding-aggregation-update"></a>

**Anmerkung**  
Die *Aggregationsregion* wird jetzt als *Heimatregion* bezeichnet. Einige Security Hub CSPM-API-Operationen verwenden immer noch den älteren Begriff Aggregationsregion.

Sie können Ihre aktuellen regionsübergreifenden Aggregationseinstellungen in AWS Security Hub CSPM aktualisieren, indem Sie die verknüpften Regionen oder die aktuelle Heimatregion ändern. Sie können auch ändern, ob Daten aus neuen Dateien, in AWS-Regionen denen Security Hub CSPM unterstützt wird, automatisch aggregiert werden sollen.

Änderungen an der regionsübergreifenden Aggregation werden für eine Opt-in-Region erst implementiert, wenn Sie die Region in Ihrer aktivieren. AWS-Konto Regionen, die am oder nach dem 20. März 2019 AWS eingeführt wurden, sind Opt-in-Regionen.

Wenn Sie die Aggregation von Daten aus einer verknüpften Region beenden, entfernt AWS Security Hub CSPM keine vorhandenen aggregierten Daten aus dieser Region, auf die in der Heimatregion zugegriffen werden kann.

Sie können die Aktualisierungsverfahren in diesem Abschnitt nicht verwenden, um die Heimatregion zu ändern. Um die Heimatregion zu ändern, müssen Sie wie folgt vorgehen:

1. Beenden Sie die regionsübergreifende Aggregation. Detaillierte Anweisungen finden Sie unter [Die regionsübergreifende Aggregation wird beendet](finding-aggregation-stop.md).

1. Wechseln Sie zu der Region, die Sie als neue Heimatregion verwenden möchten.

1. Aktivieren Sie die regionsübergreifende Aggregation. Detaillierte Anweisungen finden Sie unter [Aktivierung der regionsübergreifenden Aggregation](finding-aggregation-enable.md).

Sie müssen die regionsübergreifende Aggregationskonfiguration von der aktuellen Heimatregion aus aktualisieren.

------
#### [ Security Hub CSPM console ]

**Um die verknüpften Regionen zu ändern**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich bei der aktuellen Aggregationsregion an.

1. **Wählen Sie im Security Hub CSPM-Navigationsmenü **Einstellungen** und dann Regionen aus.**

1. **Wählen Sie für **Finding Aggregation die Option Bearbeiten** aus.**

1. Aktualisieren Sie für **verknüpfte Regionen** die ausgewählten verknüpften Regionen.

1. Ändern Sie bei Bedarf, ob die Option **future Regionen verknüpfen** ausgewählt ist. Diese Einstellung bestimmt, ob Security Hub CSPM neue Regionen automatisch verknüpft, wenn es Unterstützung für sie hinzufügt und Sie sich für sie entscheiden.

1. Wählen Sie **Speichern**.

------
#### [ Security Hub CSPM API ]

Verwenden Sie die Operation [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html). Wenn Sie den verwenden AWS CLI, führen Sie den [update-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-finding-aggregator.html)Befehl aus. Um den Suchaggregator zu identifizieren, müssen Sie den Suchaggregator-ARN angeben. Verwenden Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)Operation oder den [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html)Befehl, um den Suchaggregator-ARN abzurufen.

Wenn der Linkmodus `ALL_REGIONS_EXCEPT_SPECIFIED` oder ist`SPECIFIED_REGIONS`, können Sie die Liste der ausgeschlossenen oder eingeschlossenen Regionen ändern. Wenn Sie den Modus für die Verknüpfung von Regionen auf ändern möchten`NO_REGIONS`, sollten Sie keine Regionenliste angeben.

Wenn Sie die Liste der ausgeschlossenen oder eingeschlossenen Regionen ändern, müssen Sie die vollständige Liste zusammen mit den Aktualisierungen bereitstellen. Angenommen, Sie aggregieren derzeit Ergebnisse aus USA Ost (Ohio) und möchten auch Ergebnisse aus USA West (Oregon) aggregieren. Sie müssen eine `Regions` Liste bereitstellen, die sowohl USA Ost (Ohio) als auch USA West (Oregon) enthält.

Im folgenden Beispiel wird die regionsübergreifende Aggregation für ausgewählte Regionen aktualisiert. Der Befehl wird von der aktuellen Heimatregion aus ausgeführt, die USA Ost (Nord-Virginia) ist. Die verknüpften Regionen sind USA West (Nordkalifornien) und USA West (Oregon). Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
aws securityhub update-finding-aggregator --region us-east-1 --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# Die regionsübergreifende Aggregation wird beendet
<a name="finding-aggregation-stop"></a>

**Anmerkung**  
*Die *Aggregationsregion* wird jetzt als Heimatregion bezeichnet.* Einige Security Hub CSPM-API-Operationen verwenden immer noch den älteren Begriff Aggregationsregion.

Wenn Sie nicht möchten, dass AWS Security Hub CSPM Daten aggregiert, können Sie Ihren Finding-Aggregator löschen. Alternativ können Sie Ihren Suchaggregator beibehalten, aber keinen mit der Heimatregion verknüpfen AWS-Regionen , indem Sie den vorhandenen Aggregator auf den Verbindungsmodus aktualisieren. `NO_REGIONS`

Um Ihre Heimatregion zu ändern, müssen Sie Ihren aktuellen Suchaggregator löschen und einen neuen erstellen.

Wenn Sie Ihren Suchaggregator löschen, beendet Security Hub CSPM die Datenaggregation. Es entfernt keine vorhandenen aggregierten Daten aus der Heimatregion.

## Der Suchaggregator (Konsole) wird gelöscht
<a name="finding-aggregation-stop-console"></a>

Sie können Ihren Suchaggregator nur aus der aktuellen Heimatregion löschen.

In anderen Regionen als der Heimatregion wird im Bereich **Finding Aggregation** auf der Security Hub CSPM-Konsole eine Meldung angezeigt, dass Sie die Konfiguration in der Heimatregion bearbeiten müssen. Wählen Sie diese Nachricht, um einen Link anzuzeigen, über den Sie zur Heimatregion wechseln können.

------
#### [ Security Hub CSPM console ]

**Um die regionsübergreifende Aggregation zu beenden (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Stellen Sie sicher, dass Sie in Ihrer aktuellen Heimatregion angemeldet sind.

1. **Wählen Sie im Security Hub CSPM-Navigationsmenü **Einstellungen** und dann Regionen aus.**

1. **Wählen Sie unter **Aggregation suchen** die Option Bearbeiten aus.**

1. Wählen Sie unter **Aggregationsregion die** Option **Keine Aggregationsregion** aus.

1. Wählen Sie **Speichern**.

1. Geben Sie im Bestätigungsdialogfeld in das Bestätigungsfeld Folgendes ein. **Confirm**

1. Wählen Sie **Bestätigen** aus.

------
#### [ Security Hub CSPM API ]

Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html)Betrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html)Befehl aus.

Um den Suchaggregator zu identifizieren, der gelöscht werden soll, geben Sie den Suchaggregator-ARN an. Verwenden Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)Operation oder den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html)Befehl, um den Suchaggregator-ARN abzurufen.

Im folgenden Beispiel wird der Suchaggregator gelöscht. Der Befehl wird von der aktuellen Heimatregion aus ausgeführt, die USA Ost (Nord-Virginia) ist. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$aws securityhub delete-finding-aggregator arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region us-east-1
```

------

# Sicherheitsstandards in Security Hub CSPM verstehen
<a name="standards-view-manage"></a>

In AWS Security Hub CSPM besteht ein *Sicherheitsstandard* aus einer Reihe von Anforderungen, die auf regulatorischen Rahmenbedingungen, branchenüblichen Best Practices oder Unternehmensrichtlinien basieren. Einzelheiten zu den Standards, die Security Hub CSPM derzeit unterstützt, einschließlich der Sicherheitskontrollen, die für jeden Standard gelten, finden Sie unter. [Standardreferenz für Security Hub CSPM](standards-reference.md)

Wenn Sie einen Standard aktivieren, aktiviert Security Hub CSPM automatisch alle Kontrollen, die für den Standard gelten. Security Hub CSPM führt dann Sicherheitsprüfungen an den Kontrollen durch, wodurch Security Hub CSPM-Ergebnisse generiert werden. Sie können einzelne Kontrollen bei Bedarf deaktivieren und später wieder aktivieren. Sie können einen Standard auch vollständig deaktivieren. Wenn Sie einen Standard deaktivieren, beendet Security Hub CSPM die Ausführung von Sicherheitsüberprüfungen für Kontrollen, die für den Standard gelten. Für die Kontrollen werden keine Ergebnisse mehr generiert.

Zusätzlich zu den Ergebnissen generiert Security Hub CSPM eine Sicherheitsbewertung für jeden Standard, den Sie aktivieren. Die Bewertung basiert auf dem Status der Kontrollen, die für den Standard gelten. Wenn Sie eine Aggregationsregion festlegen, spiegelt die Sicherheitsbewertung für einen Standard den Status der Kontrollen in allen verknüpften Regionen wider. Wenn Sie der Security Hub CSPM-Administrator einer Organisation sind, spiegelt die Bewertung den Status der Kontrollen für alle Konten in Ihrer Organisation wider. Weitere Informationen finden Sie unter [Berechnung von Sicherheitswerten](standards-security-score.md).

Um Standards zu überprüfen und zu verwalten, können Sie die Security Hub CSPM-Konsole oder die Security Hub CSPM-API verwenden. Auf der Konsole werden auf der Seite **Sicherheitsstandards** alle Sicherheitsstandards angezeigt, die Security Hub CSPM derzeit unterstützt. Dies beinhaltet eine Beschreibung der einzelnen Standards und den aktuellen Status der Standards. Wenn Sie einen Standard aktivieren, können Sie auf dieser Seite auch auf zusätzliche Details zum Standard zugreifen. Sie können beispielsweise Folgendes überprüfen:
+ Die aktuelle Sicherheitsbewertung für den Standard.
+ Aggregierte Statistiken für Kontrollen, die für den Standard gelten.
+ Eine Liste der Kontrollen, die für den Standard gelten und derzeit aktiviert sind, einschließlich des jeweiligen Konformitätsstatus.
+ Eine Liste von Kontrollen, die für den Standard gelten, aber derzeit deaktiviert sind.

Für eine eingehendere Analyse können Sie die Daten filtern und sortieren und sich die Details der einzelnen Kontrollen ansehen, die für den Standard gelten.

Sie können Standards einzeln für ein einzelnes Konto aktivieren und AWS-Region. Um Zeit zu sparen und Konfigurationsabweichungen in Umgebungen mit mehreren Konten und mehreren Regionen zu reduzieren, empfehlen wir jedoch, die Standards über eine [zentrale Konfiguration](central-configuration-intro.md) zu aktivieren und zu verwalten. Bei der zentralen Konfiguration kann der delegierte Security Hub CSPM-Administrator Richtlinien erstellen, die festlegen, wie ein Standard für mehrere Konten und Regionen konfiguriert werden soll.

**Topics**
+ [Referenz zu den Standards](standards-reference.md)
+ [Einen Standard aktivieren](enable-standards.md)
+ [Überprüfung der Einzelheiten eines Standards](securityhub-standards-view-controls.md)
+ [Automatisch aktivierte Standards ausschalten](securityhub-auto-enabled-standards.md)
+ [Deaktivierung eines Standards](disable-standards.md)

# Standardreferenz für Security Hub CSPM
<a name="standards-reference"></a>

In AWS Security Hub CSPM besteht ein *Sicherheitsstandard* aus einer Reihe von Anforderungen, die auf regulatorischen Rahmenbedingungen, branchenüblichen Best Practices oder Unternehmensrichtlinien basieren. Security Hub CSPM ordnet diese Anforderungen den Kontrollen zu und führt Sicherheitsüberprüfungen der Kontrollen durch, um zu beurteilen, ob die Anforderungen eines Standards erfüllt werden. Jeder Standard umfasst mehrere Kontrollen.

Security Hub CSPM unterstützt derzeit die folgenden Standards:
+ **AWS Bewährte grundlegende Sicherheitsverfahren** — Dieser Standard wurde von Branchenexperten entwickelt AWS und ist eine Zusammenstellung von bewährten Sicherheitsmethoden für Unternehmen, unabhängig von Branche oder Größe. Er bietet eine Reihe von Kontrollen, die erkennen, wenn Sie AWS-Konten und Ihre Ressourcen von den bewährten Sicherheitsmethoden abweichen. Es enthält auch präskriptive Anleitungen zur Verbesserung und Aufrechterhaltung Ihrer Sicherheitslage.
+ **AWS Resource Tagging** — Mit diesem von Security Hub CSPM entwickelten Standard können Sie feststellen, ob Ihre AWS Ressourcen über Tags verfügen. Ein *Tag* ist ein Schlüssel-Wert-Paar, das als Metadaten für eine Ressource fungiert. AWS Mithilfe von Tags können Sie Ressourcen identifizieren, kategorisieren, verwalten und nach ihnen suchen. AWS Sie können beispielsweise Tags verwenden, um Ressourcen nach Zweck, Eigentümer oder Umgebung zu kategorisieren.
+ **CIS AWS Foundations Benchmark** — Dieser vom Center for Internet Security (CIS) entwickelte Standard bietet sichere Konfigurationsrichtlinien für AWS. Er legt eine Reihe von Richtlinien und bewährten Methoden zur Sicherheitskonfiguration für eine Untergruppe von AWS-Services Ressourcen fest, wobei der Schwerpunkt auf grundlegenden, testbaren und architekturunabhängigen Einstellungen liegt. Die Richtlinien beinhalten klare Implementierungs- und step-by-step Bewertungsverfahren.
+ **NIST SP 800-53 Revision 5** — Dieser Standard entspricht den Anforderungen des National Institute of Standards and Technology (NIST) zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen und kritischen Ressourcen. Der zugehörige Rahmen gilt im Allgemeinen für US-Bundesbehörden oder Organisationen, die mit US-Bundesbehörden oder Informationssystemen zusammenarbeiten. Private Organisationen können die Anforderungen jedoch auch als Richtschnur verwenden.
+ **NIST SP 800-171 Revision 2** — Dieser Standard entspricht den Sicherheitsempfehlungen und -anforderungen des NIST zum Schutz der Vertraulichkeit kontrollierter nicht klassifizierter Informationen (CUI) in Systemen und Organisationen, die nicht Teil der US-Bundesregierung sind. *CUI* sind Informationen, die die staatlichen Klassifizierungskriterien nicht erfüllen, aber als sensibel gelten und von der US-Bundesregierung oder anderen Stellen im Auftrag der US-Bundesregierung erstellt oder in Besitz genommen werden.
+ **PCI DSS** — Dieser Standard entspricht dem vom PCI Security Standards Council (SSC) definierten Compliance-Framework für den Payment Card Industry Data Security Standard (PCI DSS). Das Framework enthält eine Reihe von Regeln und Richtlinien für den sicheren Umgang mit Kredit- und Debitkarteninformationen. Das Framework gilt im Allgemeinen für Organisationen, die Karteninhaberdaten speichern, verarbeiten oder übertragen.
+ **Service-verwalteter Standard, AWS Control Tower** — Dieser Standard hilft Ihnen bei der Konfiguration der von Security Hub CSPM bereitgestellten Detective Controls von. AWS Control Tower AWS Control Tower bietet eine einfache Möglichkeit, eine Umgebung mit AWS mehreren Konten einzurichten und zu verwalten und dabei die vorgeschriebenen Best Practices zu befolgen.

Die CSPM-Standards und -Kontrollen von Security Hub garantieren nicht die Einhaltung gesetzlicher Rahmenbedingungen oder Audits. Stattdessen bieten sie eine Möglichkeit, den Zustand Ihrer Ressourcen und Ihrer Ressourcen zu bewerten AWS-Konten und zu überwachen. Wir empfehlen, jeden Standard zu aktivieren, der für Ihre Geschäftsanforderungen, Ihre Branche oder Ihren Anwendungsfall relevant ist.

Einzelne Kontrollen können für mehr als einen Standard gelten. Wenn Sie mehrere Standards aktivieren, empfehlen wir, auch konsolidierte Kontrollergebnisse zu aktivieren. Wenn Sie dies tun, generiert Security Hub CSPM einen einzigen Befund für jedes Steuerelement, auch wenn das Steuerelement für mehr als einen Standard gilt. Wenn Sie konsolidierte Kontrollergebnisse nicht aktivieren, generiert Security Hub CSPM für jeden aktivierten Standard, für den eine Kontrolle gilt, einen separaten Befund. Wenn Sie beispielsweise zwei Standards aktivieren und eine Kontrolle für beide gilt, erhalten Sie zwei separate Ergebnisse für die Kontrolle, einen für jeden Standard. Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erhalten Sie nur ein Ergebnis für die Kontrolle. Weitere Informationen finden Sie unter [Konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Bewährte grundlegende Sicherheitsmethoden](fsbp-standard.md)
+ [AWS Kennzeichnung von Ressourcen](standards-tagging.md)
+ [Benchmark für die Stiftungen AWS](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 Version 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 Revision 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [Vom Service verwaltete Standards](service-managed-standards.md)

# AWS Standard für grundlegende Best Practices im Bereich Sicherheit im Security Hub CSPM
<a name="fsbp-standard"></a>

Der von AWS Branchenexperten entwickelte Standard AWS Foundational Security Best Practices (FSBP) ist eine Zusammenstellung von bewährten Sicherheitsmethoden für Unternehmen, unabhängig von Branche oder Größe. Er bietet eine Reihe von Kontrollen, die erkennen, wann AWS-Konten und welche Ressourcen von den bewährten Sicherheitsmethoden abweichen. Es enthält auch präskriptive Leitlinien zur Verbesserung und Aufrechterhaltung der Sicherheitslage Ihres Unternehmens.

In AWS Security Hub CSPM umfasst der Standard AWS Foundational Security Best Practices Kontrollen, mit denen Sie AWS-Konten und Ihre Workloads kontinuierlich evaluieren und Ihnen helfen, Bereiche zu identifizieren, die von den bewährten Sicherheitsmethoden abweichen. Die Kontrollen beinhalten bewährte Sicherheitsverfahren für Ressourcen aus verschiedenen Quellen. AWS-Services Jedem Steuerelement wird eine Kategorie zugewiesen, die die Sicherheitsfunktion widerspiegelt, für die das Steuerelement gilt. Eine Liste der Kategorien und weitere Informationen finden Sie unter[Kategorien kontrollieren](control-categories.md).

## Kontrollen, die für den Standard gelten
<a name="fsbp-controls"></a>

In der folgenden Liste wird angegeben, welche AWS Security Hub CSPM-Steuerelemente für den Standard AWS Foundational Security Best Practices (v1.0.0) gelten. Um die Details eines Steuerelements zu überprüfen, wählen Sie das Steuerelement aus.

 [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1) 

 [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1) 

 [[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2) 

 [[APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2) 

 [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 

 [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 

 [[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein](athena-controls.md#athena-4) 

 [[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3) 

 [[Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 

 [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 

 [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 

 [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 

 [[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben](cognito-controls.md#cognito-3) 

 [[Cognito.4] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein](cognito-controls.md#cognito-4) 

 [[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein](cognito-controls.md#cognito-5) 

 [[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein](cognito-controls.md#cognito-6) 

 [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 

 [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 

 [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] Für DataSync Aufgaben sollte die Protokollierung aktiviert sein](datasync-controls.md#datasync-1) 

 [[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1) 

 [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 

 [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 

 [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 

 [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 

 [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 

 [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 

 [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 

 [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 

 [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 

 [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 

 [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 

 [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 

 [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 

 [[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein](ec2-controls.md#ec2-1) 

 [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 

 [[EC2.3] Angehängte Amazon EBS-Volumes sollten im Ruhezustand verschlüsselt werden](ec2-controls.md#ec2-3) 

 [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 

 [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7) 

 [[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8) 

 [[EC2.9] Amazon EC2 EC2-Instances sollten keine öffentliche Adresse haben IPv4](ec2-controls.md#ec2-9) 

 [[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon EC2-Service erstellt wurden](ec2-controls.md#ec2-10) 

 [[EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ec2-controls.md#ec2-15) 

 [[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden](ec2-controls.md#ec2-16) 

 [[EC2.17] Amazon EC2 EC2-Instances sollten nicht mehrere verwenden ENIs](ec2-controls.md#ec2-17) 

 [[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen](ec2-controls.md#ec2-18) 

 [[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen](ec2-controls.md#ec2-19) 

 [[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein](ec2-controls.md#ec2-20) 

 [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 

 [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 

 [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 

 [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 

 [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 

[[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55)

[[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56)

[[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57)

[[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58)

[[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60)

 [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 

 [[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein](ec2-controls.md#ec2-171) 

 [[EC2.172] Die EC2 VPC Block Public Access-Einstellungen sollten den Internet-Gateway-Verkehr blockieren](ec2-controls.md#ec2-172) 

 [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 

 [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 

 [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 

 [[EC2.182] Amazon EBS-Snapshots sollten nicht öffentlich zugänglich sein](ec2-controls.md#ec2-182) 

 [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 

 [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 

 [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 

 [[ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten](ecs-controls.md#ecs-1) 

 [[ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden](ecs-controls.md#ecs-2) 

 [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3) 

 [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4) 

 [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) 

 [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8) 

 [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9) 

 [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10) 

 [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12) 

 [[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ecs-controls.md#ecs-16) 

 [[ECS.18] ECS-Aufgabendefinitionen sollten die Verschlüsselung während der Übertragung für EFS-Volumes verwenden](ecs-controls.md#ecs-18) 

 [[ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben](ecs-controls.md#ecs-19) 

 [[ECS.20] ECS-Aufgabendefinitionen sollten Benutzer, die keine Root-Benutzer sind, in Linux-Container-Definitionen konfigurieren](ecs-controls.md#ecs-20) 

 [[ECS.21] ECS-Aufgabendefinitionen sollten Benutzer ohne Administratorrechte in Windows-Containerdefinitionen konfigurieren](ecs-controls.md#ecs-21) 

 [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 

 [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 

 [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 

 [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) 

 [[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein](efs-controls.md#efs-7) 

 [[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8) 

 [[EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein](eks-controls.md#eks-1) 

 [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 

 [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3) 

 [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 

 [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden](elb-controls.md#elb-1) 

 [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 

 [[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden](elb-controls.md#elb-3) 

 [[ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden](elb-controls.md#elb-4) 

 [[ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein](elb-controls.md#elb-5) 

 [[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein](elb-controls.md#elb-6) 

 [[ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein](elb-controls.md#elb-7) 

 [[ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config](elb-controls.md#elb-8) 

 [[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein](elb-controls.md#elb-9) 

 [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10) 

 [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12) 

 [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13) 

 [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 

 [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 

 [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 

 [[ELB.21] Zielgruppen für Anwendungen und Network Load Balancer sollten verschlüsselte Health Check-Protokolle verwenden](elb-controls.md#elb-21) 

 [[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden](elb-controls.md#elb-22) 

 [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 

 [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 

 [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 

 [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 

 [[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](es-controls.md#es-1) 

 [[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2) 

 [[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](es-controls.md#es-3) 

 [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 

 [[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein](es-controls.md#es-5) 

 [[ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben](es-controls.md#es-6) 

 [[ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden](es-controls.md#es-7) 

 [[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](es-controls.md#es-8) 

 [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert werden](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx für Windows-Dateiserver sollten für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-5) 

 [[Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden](glue-controls.md#glue-3) 

 [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-13) 

 [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 

 [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 

 [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 

 [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 

 [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 

 [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 

 [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7) 

 [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 

 [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 

 [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 

 [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 

 [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 

 [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen](kinesis-controls.md#kinesis-3) 

 [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 

 [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 

 [[KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden](kms-controls.md#kms-3) 

 [[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein](kms-controls.md#kms-5) 

 [[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1) 

 [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2) 

 [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 

 [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 

 [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 

 [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 

 [[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein](mq-controls.md#mq-3) 

 [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 

 [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 

 [[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein](msk-controls.md#msk-4) 

 [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 

 [[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren](msk-controls.md#msk-6) 

 [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 

 [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 

 [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 

 [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 

 [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 

 [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 

 [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 

 [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 

 [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 

 [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 

 [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 

 [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 

 [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 

 [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 

 [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 

 [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 

 [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 

 [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 

 [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 

 [[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2) 

 [[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3) 

 [[RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-4) 

 [[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden](rds-controls.md#rds-5) 

 [[RDS.6] Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden](rds-controls.md#rds-6) 

 [[RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein](rds-controls.md#rds-7) 

 [[RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein](rds-controls.md#rds-8) 

 [[RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-9) 

 [[RDS.10] Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden](rds-controls.md#rds-10) 

 [[RDS.11] Bei RDS-Instances sollten automatische Backups aktiviert sein](rds-controls.md#rds-11) 

 [[RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden](rds-controls.md#rds-12) 

 [[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13) 

 [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 

 [[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15) 

 [[RDS.16] Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren](rds-controls.md#rds-16) 

 [[RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](rds-controls.md#rds-17) 

 [[RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden](rds-controls.md#rds-19) 

 [[RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden](rds-controls.md#rds-20) 

 [[RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden](rds-controls.md#rds-21) 

 [[RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden](rds-controls.md#rds-22) 

 [[RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden](rds-controls.md#rds-23) 

 [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 

 [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 

 [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 

 [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 

 [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 

 [[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-36) 

 [[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37) 

 [[RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-40) 

 [[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-41) 

 [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 

 [[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern](rds-controls.md#rds-43) 

 [[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden](rds-controls.md#rds-44) 

 [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 

 [[RDS.46] RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden](rds-controls.md#rds-46) 

 [[RDS.47] RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-47) 

 [[RDS.48] RDS für MySQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-48) 

 [[RDS.50] Für RDS-DB-Cluster sollte ein ausreichender Aufbewahrungszeitraum für Backups festgelegt sein](rds-controls.md#rds-50) 

 [[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1) 

 [[Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden](redshift-controls.md#redshift-2) 

 [[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein](redshift-controls.md#redshift-3) 

 [[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein](redshift-controls.md#redshift-4) 

 [[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein](redshift-controls.md#redshift-6) 

 [[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden](redshift-controls.md#redshift-7) 

 [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 

 [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 

 [[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen](redshift-controls.md#redshift-15) 

 [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1) 

 [[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren](s3-controls.md#s3-2) 

 [[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren](s3-controls.md#s3-3) 

 [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5) 

 [[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten](s3-controls.md#s3-6) 

 [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8) 

 [[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](s3-controls.md#s3-9) 

 [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12) 

 [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) 

 [[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19) 

 [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 

 [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 

 [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 

 [[SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen](sns-controls.md#sns-4) 

 [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 

 [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 

 [[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2) 

 [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3) 

 [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 

 [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 

 [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2) 

 [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 

 [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 

 [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2) 

 [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 

 [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4) 

 [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 

 [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 

 [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

 [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 

 [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12) 

 [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

# AWS Standard für Ressourcen-Tagging in Security Hub CSPM
<a name="standards-tagging"></a>

Mit dem AWS Resource Tagging-Standard, der von AWS Security Hub CSPM entwickelt wurde, können Sie feststellen, ob in Ihren AWS Ressourcen Tags fehlen. *Tags* sind Schlüssel-Wert-Paare, die als Metadaten für die Organisation von Ressourcen dienen. AWS Bei den meisten AWS Ressourcen haben Sie die Möglichkeit, einer Ressource Tags hinzuzufügen, wenn Sie die Ressource erstellen oder nachdem Sie die Ressource erstellt haben. Zu den Ressourcen gehören beispielsweise CloudFront Amazon-Distributionen, Amazon Elastic Compute Cloud (Amazon EC2) -Instances und Secrets in. AWS Secrets Manager Mithilfe von Tags können Sie Ressourcen verwalten, identifizieren, organisieren, suchen und filtern AWS .

Jedes -Tag besteht aus zwei Teilen:
+ Ein Tag-Schlüssel, zum Beispiel, `CostCenter``Environment`, oder. `Project` Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.
+ Ein Tag-Wert, zum Beispiel oder. `111122223333` `Production` Wie bei Tag-Schlüsseln wird auch bei Tag-Werten zwischen Groß- und Kleinschreibung unterschieden.

Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Informationen zum Hinzufügen von Tags zu AWS Ressourcen finden Sie im [Benutzerhandbuch zum Kennzeichnen von AWS Ressourcen und zum Tag-Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

Für jedes Steuerelement, das für den AWS Resource Tagging-Standard in Security Hub CSPM gilt, können Sie optional den unterstützten Parameter verwenden, um Tag-Schlüssel anzugeben, nach denen das Steuerelement suchen soll. Wenn Sie keine Tag-Schlüssel angeben, prüft das Steuerelement nur, ob mindestens ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn eine Ressource keine Tag-Schlüssel hat.

Bevor Sie den AWS Resource Tagging-Standard aktivieren, ist es wichtig, die Ressourcenaufzeichnung in AWS Config zu aktivieren und zu konfigurieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle AWS Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Andernfalls ist Security Hub CSPM möglicherweise nicht in der Lage, die geeigneten Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten. Weitere Informationen, einschließlich einer Liste der aufzuzeichnenden Ressourcentypen, finden Sie unter. [Erforderliche AWS Config Ressourcen für Kontrollbefunde](controls-config-resources.md)

Nachdem Sie den AWS Resource Tagging-Standard aktiviert haben, erhalten Sie erste Ergebnisse für Kontrollen, die für diesen Standard gelten. Beachten Sie, dass es bis zu 18 Stunden dauern kann, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die dieselbe AWS Config serviceverknüpfte Regel verwenden wie Kontrollen, die für andere aktivierte Standards gelten. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

Der AWS Resource Tagging-Standard hat den folgenden Amazon-Ressourcennamen (ARN):`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`, wobei der Regionalcode für die entsprechende *region* AWS-Region ist. Sie können auch den [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)Betrieb der Security Hub CSPM-API verwenden, um den ARN eines Standards abzurufen, der derzeit aktiviert ist.

**Anmerkung**  
Der [AWS Resource Tagging-Standard](#standards-tagging) ist in den Regionen Asien-Pazifik (Neuseeland) und Asien-Pazifik (Taipeh) nicht verfügbar.

## Kontrollen, die für den Standard gelten
<a name="tagging-standard-controls"></a>

Die folgende Liste gibt an, welche AWS Security Hub CSPM-Steuerelemente für den AWS Resource Tagging-Standard (v1.0.0) gelten. Um die Details eines Steuerelements zu überprüfen, wählen Sie das Steuerelement aus.
+ [[ACM.3] ACM-Zertifikate sollten mit einem Tag versehen werden](acm-controls.md#acm-3)
+ [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1)
+ [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten markiert werden](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1)
+ [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein](appsync-controls.md#appsync-4)
+ [[Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden](athena-controls.md#athena-2)
+ [[Athena.3] Athena-Arbeitsgruppen sollten markiert werden](athena-controls.md#athena-3)
+ [[AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden](backup-controls.md#backup-2)
+ [[Backup.3] AWS Backup Tresore sollten markiert sein](backup-controls.md#backup-3)
+ [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4)
+ [[Backup.5] AWS Backup Backup-Pläne sollten markiert werden](backup-controls.md#backup-5)
+ [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1)
+ [[Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein](batch-controls.md#batch-2)
+ [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3)
+ [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4)
+ [[CloudFormation.2] CloudFormation Stapel sollten markiert werden](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] CloudTrail Wege sollten markiert werden](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden](datasync-controls.md#datasync-2)
+ [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1)
+ [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2)
+ [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3)
+ [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4)
+ [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5)
+ [[DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] EC2 Transit Gateway-Anhänge sollten markiert werden](ec2-controls.md#ec2-33)
+ [[EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-34)
+ [[EC2.35] EC2-Netzwerkschnittstellen sollten markiert werden](ec2-controls.md#ec2-35)
+ [[EC2.36] EC2-Kunden-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-36)
+ [[EC2.37] EC2-Elastic-IP-Adressen sollten mit Tags versehen werden](ec2-controls.md#ec2-37)
+ [[EC2.38] EC2-Instances sollten markiert werden](ec2-controls.md#ec2-38)
+ [[EC2.39] EC2-Internet-Gateways sollten markiert werden](ec2-controls.md#ec2-39)
+ [[EC2.40] EC2-NAT-Gateways sollten markiert werden](ec2-controls.md#ec2-40)
+ [[EC2.41] Das EC2-Netzwerk sollte markiert werden ACLs](ec2-controls.md#ec2-41)
+ [[EC2.42] EC2-Routing-Tabellen sollten mit Tags versehen werden](ec2-controls.md#ec2-42)
+ [[EC2.43] EC2-Sicherheitsgruppen sollten markiert werden](ec2-controls.md#ec2-43)
+ [[EC2.44] EC2-Subnetze sollten markiert werden](ec2-controls.md#ec2-44)
+ [[EC2.45] EC2-Volumes sollten markiert werden](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs sollte markiert werden](ec2-controls.md#ec2-46)
+ [[EC2.47] Amazon VPC Endpoint Services sollten markiert werden](ec2-controls.md#ec2-47)
+ [[EC2.48] Amazon VPC-Flow-Logs sollten markiert werden](ec2-controls.md#ec2-48)
+ [[EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden](ec2-controls.md#ec2-49)
+ [[EC2.50] EC2-VPN-Gateways sollten markiert werden](ec2-controls.md#ec2-50)
+ [[EC2.52] EC2-Transit-Gateways sollten markiert werden](ec2-controls.md#ec2-52)
+ [[EC2.174] EC2-DHCP-Optionssätze sollten markiert werden](ec2-controls.md#ec2-174)
+ [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175)
+ [[EC2.176] EC2-Präfixlisten sollten mit Tags versehen werden](ec2-controls.md#ec2-176)
+ [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177)
+ [[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden](ec2-controls.md#ec2-178)
+ [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179)
+ [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4)
+ [[ECS.13] ECS-Services sollten markiert werden](ecs-controls.md#ecs-13)
+ [[ECS.14] ECS-Cluster sollten markiert werden](ecs-controls.md#ecs-14)
+ [[ECS.15] ECS-Aufgabendefinitionen sollten mit Tags versehen werden](ecs-controls.md#ecs-15)
+ [[EFS.5] EFS-Zugangspunkte sollten markiert werden](efs-controls.md#efs-5)
+ [[EKS.6] EKS-Cluster sollten markiert werden](eks-controls.md#eks-6)
+ [[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden](eks-controls.md#eks-7)
+ [[ES.9] Elasticsearch-Domains sollten markiert werden](es-controls.md#es-9)
+ [[EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] AWS Glue Jobs sollten markiert werden](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets sollte markiert werden](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] GuardDuty Detektoren sollten markiert werden](guardduty-controls.md#guardduty-4)
+ [[IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden](iam-controls.md#iam-23)
+ [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24)
+ [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25)
+ [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1)
+ [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2)
+ [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3)
+ [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4)
+ [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6)
+ [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1)
+ [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2)
+ [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Kinesis-Streams sollten markiert werden](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Lambda-Funktionen sollten markiert werden](lambda-controls.md#lambda-6)
+ [[MQ.4] Amazon MQ-Broker sollten markiert werden](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden](networkfirewall-controls.md#networkfirewall-8)
+ [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9)
+ [[PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden](pca-controls.md#pca-2)
+ [[RDS.28] RDS-DB-Cluster sollten markiert werden](rds-controls.md#rds-28)
+ [[RDS.29] RDS-DB-Cluster-Snapshots sollten mit Tags versehen werden](rds-controls.md#rds-29)
+ [[RDS.30] RDS-DB-Instances sollten markiert werden](rds-controls.md#rds-30)
+ [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31)
+ [[RDS.32] RDS-DB-Snapshots sollten markiert werden](rds-controls.md#rds-32)
+ [[RDS.33] RDS-DB-Subnetzgruppen sollten markiert werden](rds-controls.md#rds-33)
+ [[Redshift.11] Redshift-Cluster sollten markiert werden](redshift-controls.md#redshift-11)
+ [[Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden](redshift-controls.md#redshift-12)
+ [[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden](redshift-controls.md#redshift-13)
+ [[Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden](redshift-controls.md#redshift-14)
+ [[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden](redshift-controls.md#redshift-17)
+ [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1)
+ [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] SES-Kontaktlisten sollten mit Tags versehen werden](ses-controls.md#ses-1)
+ [[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden](ses-controls.md#ses-2)
+ [[SNS.3] SNS-Themen sollten markiert werden](sns-controls.md#sns-3)
+ [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2)
+ [[SSM.5] SSM-Dokumente sollten mit Tags versehen werden](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Die Aktivitäten von Step Functions sollten markiert werden](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden](transfer-controls.md#transfer-1)
+ [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4)
+ [[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein](transfer-controls.md#transfer-5)
+ [[Transfer.6] Steckverbinder der Transfer-Familie sollten gekennzeichnet sein](transfer-controls.md#transfer-6)
+ [[Transfer.7] Familienprofile sollten mit Tags versehen werden](transfer-controls.md#transfer-7)

# Benchmark der AWS GUS-Stiftungen im Security Hub CSPM
<a name="cis-aws-foundations-benchmark"></a>

Der Center for Internet Security (CIS) AWS Foundations Benchmark dient als eine Reihe von bewährten Methoden zur Sicherheitskonfiguration für AWS. Diese branchenweit anerkannten Best Practices bieten Ihnen klare step-by-step Implementierungs- und Bewertungsverfahren. Die Kontrollen in diesem Benchmark reichen von Betriebssystemen über Cloud-Dienste bis hin zu Netzwerkgeräten und helfen Ihnen dabei, die spezifischen Systeme zu schützen, die Ihr Unternehmen verwendet. 

AWS Security Hub CSPM unterstützt die CIS AWS Foundations Benchmark-Versionen 5.0.0, 3.0.0, 1.4.0 und 1.2.0. Auf dieser Seite sind die Sicherheitskontrollen aufgeführt, die jede Version unterstützt. Sie bietet auch einen Vergleich der Versionen.

## Benchmark der CIS AWS Foundations Version 5.0.0
<a name="cis5v0-standard"></a>

Security Hub CSPM unterstützt Version 5.0.0 (v5.0.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet: 
+ CIS Benchmark for CIS AWS Foundations Benchmark, v5.0.0, Stufe 1
+ CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v5.0.0, Stufe 2

### Kontrollen, die für CIS AWS Foundations Benchmark Version 5.0.0 gelten
<a name="cis5v0-controls"></a>

[[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)

[[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2)

[[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)

[[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7)

[[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)

[[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53)

[[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54)

[[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1)

[[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8)

[[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)

[[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)

[[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)

[[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)

[[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)

[[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)

[[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)

[[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)

[[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)

[[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)

[[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26)

[[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28)

[[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)

[[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3)

[[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden](rds-controls.md#rds-5)

[[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13)

[[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15)

[[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)

[[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)

[[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)

[[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20)

[[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22)

[[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark Version 3.0.0
<a name="cis3v0-standard"></a>

Security Hub CSPM unterstützt Version 3.0.0 (v3.0.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet: 
+ CIS Benchmark for CIS AWS Foundations Benchmark, v3.0.0, Stufe 1
+ CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v3.0.0, Stufe 2

### Kontrollen, die für CIS AWS Foundations Benchmark Version 3.0.0 gelten
<a name="cis3v0-controls"></a>

[[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)

[[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2)

[[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)

[[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7)

[[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)

[[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53)

[[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54)

[[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1)

[[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)

[[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)

[[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)

[[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)

[[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)

[[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)

[[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)

[[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)

[[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)

[[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)

[[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26)

[[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28)

[[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)

[[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3)

[[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13)

[[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)

[[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)

[[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)

[[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20)

[[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22)

[[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark Version 1.4.0
<a name="cis1v4-standard"></a>

Security Hub CSPM unterstützt Version 1.4.0 (v1.4.0) des CIS Foundations Benchmark. AWS 

### Kontrollen, die für die Version 1.4.0 von CIS Foundations Benchmark AWS gelten
<a name="cis1v4-controls"></a>

 [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 

 [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 

 [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7) 

 [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 

 [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 

 [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 

 [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 

 [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 

 [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 

 [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 

 [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15) 

 [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16) 

 [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 

 [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 

 [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4) 

 [[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3) 

 [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1) 

 [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5) 

 [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8) 

 [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20) 

## CIS AWS Foundations Benchmark Version 1.2.0
<a name="cis1v2-standard"></a>

Security Hub CSPM unterstützt Version 1.2.0 (v1.2.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet: 
+ CIS Benchmark for CIS AWS Foundations Benchmark, v1.2.0, Stufe 1
+ CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v1.2.0, Stufe 2

### Kontrollen, die für CIS AWS Foundations Benchmark Version 1.2.0 gelten
<a name="cis1v2-controls"></a>

 [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind](cloudwatch-controls.md#cloudwatch-2) 

 [[CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind](cloudwatch-controls.md#cloudwatch-3) 

 [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 

 [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 

 [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 

 [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13) 

 [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14) 

 [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 

 [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 

 [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 

 [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 

 [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 

 [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 

 [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 

 [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 

 [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11) 

 [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12) 

 [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13) 

 [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14) 

 [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15) 

 [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16) 

 [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17) 

 [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 

 [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4) 

## Versionsvergleich für CIS AWS Foundations Benchmark
<a name="cis1.4-vs-cis1.2"></a>

In diesem Abschnitt werden die Unterschiede zwischen bestimmten Versionen des Center for Internet Security (CIS) AWS Foundations Benchmark — v5.0.0, v3.0.0, v1.4.0 und v1.2.0 — zusammengefasst. AWS Security Hub CSPM unterstützt jede dieser Versionen des CIS AWS Foundations Benchmark. Wir empfehlen jedoch, Version 5.0.0 zu verwenden, um über bewährte Sicherheitsmethoden auf dem Laufenden zu bleiben. Sie können mehrere Versionen der Benchmark-Standards von CIS AWS Foundations gleichzeitig aktivieren. Informationen zur Aktivierung von Standards finden Sie unter[Einen Sicherheitsstandard aktivieren](enable-standards.md). Wenn Sie auf v5.0.0 aktualisieren möchten, aktivieren Sie es, bevor Sie eine ältere Version deaktivieren. Dadurch werden Lücken in Ihren Sicherheitsüberprüfungen vermieden. [Wenn Sie die Security Hub CSPM-Integration mit verwenden AWS Organizations und v5.0.0 in mehreren Konten stapelweise aktivieren möchten, empfehlen wir die zentrale Konfiguration.](central-configuration-intro.md)

### Zuordnung der Kontrollen zu den CIS-Anforderungen in jeder Version
<a name="cis-version-comparison"></a>

Verstehen Sie, welche Kontrollen jede Version des CIS AWS Foundations Benchmark unterstützt.


| Kontroll-ID und Titel | Anforderung für CIS v5.0.0 | CIS v3.0.0-Anforderung | CIS v1.4.0-Anforderung | CIS v1.2.0-Anforderung | 
| --- | --- | --- | --- | --- | 
|  [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1.18  | 
|  [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)  |  3.5  |  3.5  |  3.7  |  2.7  | 
|  [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  3.4  |  2.4  | 
|  [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  3.3  |  2.3  | 
|  [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.3  |  3.3  | 
|  [[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind](cloudwatch-controls.md#cloudwatch-2)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  3.1  | 
|  [[CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind](cloudwatch-controls.md#cloudwatch-3)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  3.2  | 
|  [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.4  |  3.4  | 
|  [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.5  |  3.5  | 
|  [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.6  |  3.6  | 
|  [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.7  |  3.7  | 
|  [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.8  |  3.8  | 
|  [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4,9 bis 4,9  |  3.9  | 
|  [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.10  |  3,10  | 
|  [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.11  |  3,11  | 
|  [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.12  |  3,12  | 
|  [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.13  |  3.13  | 
|  [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.14  |  3,14  | 
|  [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)  |  3.3  |  3.3  |  3.5  |  2.5  | 
|  [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)  |  3.7  |  3.7  |  3.9  |  2,9  | 
|  [[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  Nicht unterstützt  | 
|  [[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8)  |  5,7  |  5.6  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13)  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.3 und 5.4  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3  |  4.1  | 
|  [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14)  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.3 und 5.4  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3  |  4.2  | 
|  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  Nicht unterstützt  | 
|  [[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8)  |  2.3.1  |  Nicht unterstützt  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1)  |  Nicht unterstützt   |  Nicht unterstützt   |  1.16  |  1,22  | 
|  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)  |  1.14  |  1.15  |  Nicht unterstützt  |  1.16  | 
|  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)  |  1.5  |  1,6  |  1,6  |  1.14  | 
|  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)  |  Nicht unterstützt — siehe stattdessen [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)  |  Nicht unterstützt — siehe [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) stattdessen  |  Nicht unterstützt — siehe [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) stattdessen  |  1.3  | 
|  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1.5  | 
|  [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1,6  | 
|  [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1,7  | 
|  [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1.8  | 
|  [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)  |  1,7  |  1.8  |  1.8  |  1.9  | 
|  [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1.11  | 
|  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)  |  1.16  |  1,17  |  1,17  |  1.2  | 
|  [[IAM.20] Vermeiden Sie die Verwendung des Root-Benutzers](iam-controls.md#iam-20)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1.1  | 
|  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26)  |  1.18  |  1,19  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27)  |  1.21  |  1,22  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28)  |  1.19  |  1,20  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2.8  | 
|  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  | 
|  [[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden](rds-controls.md#rds-5)  |  2.2.4  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15)  |  2.2.4  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 

### ARNs für Benchmarks der CIS AWS Foundations
<a name="cisv1.4.0-finding-fields"></a>

Wenn Sie eine oder mehrere Versionen von CIS AWS Foundations Benchmark aktivieren, erhalten Sie die Ergebnisse ab sofort im AWS Security Finding Format (ASFF). In ASFF verwendet jede Version den folgenden Amazon-Ressourcennamen (ARN):

**Benchmark AWS v5.0.0 für CIS Foundations**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**Benchmark für AWS GUS-Stiftungen v3.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**Benchmark v1.4.0 für AWS GUS-Stiftungen**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**Benchmark v1.2.0 AWS für GUS-Stiftungen**  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

Sie können den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)Betrieb der Security Hub CSPM-API verwenden, um den ARN eines aktivierten Standards zu ermitteln.

Die vorherigen Werte sind für. `StandardsArn` `StandardsSubscriptionArn`Bezieht sich jedoch auf die Standard-Abonnementressource, die Security Hub CSPM erstellt, wenn Sie einen Standard abonnieren, indem Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html)in einer Region anrufen.

**Anmerkung**  
Wenn Sie eine Version des CIS AWS Foundations Benchmark aktivieren, kann es bis zu 18 Stunden dauern, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die dieselbe AWS Config serviceverknüpfte Regel verwenden wie aktivierte Kontrollen in anderen aktivierten Standards. Weitere Informationen zum Zeitplan für die Generierung von Kontrollbefunden finden Sie unter. [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md)

Suchfelder unterscheiden sich, wenn Sie konsolidierte Kontrollergebnisse aktivieren. Informationen zu diesen Unterschieden finden Sie unter[Auswirkungen der Konsolidierung auf ASFF-Felder und -Werte](asff-changes-consolidation.md). Ergebnisse der Stichprobenkontrolle finden Sie unter[Stichproben von Kontrollbefunden](sample-control-findings.md).

### CIS-Anforderungen, die in Security Hub CSPM nicht unterstützt werden
<a name="securityhub-standards-cis-checks-not-supported"></a>

Wie in der obigen Tabelle erwähnt, unterstützt Security Hub CSPM nicht jede CIS-Anforderung in jeder Version des CIS AWS Foundations Benchmark. Viele der nicht unterstützten Anforderungen können nur bewertet werden, indem der Status Ihrer Ressourcen manuell überprüft wird. AWS 

# NIST SP 800-53 Revision 5 im Security Hub CSPM
<a name="standards-reference-nist-800-53"></a>

Die NIST-Sonderveröffentlichung 800-53 Revision 5 (NIST SP 800-53 Rev. 5) ist ein Framework für Cybersicherheit und Compliance, das vom National Institute of Standards and Technology (NIST), einer Behörde, die Teil des US-Handelsministeriums ist, entwickelt wurde. Dieses Compliance-Framework enthält einen Katalog von Sicherheits- und Datenschutzanforderungen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen und kritischen Ressourcen. US-Bundesbehörden und Auftragnehmer müssen diese Anforderungen erfüllen, um ihre Systeme und Organisationen zu schützen. Private Organisationen können die Anforderungen auch freiwillig als Leitfaden für die Reduzierung des Cybersicherheitsrisikos verwenden. Weitere Informationen über das Framework und seine Anforderungen finden Sie unter [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) im *NIST Computer* Security Resource Center.

AWS Security Hub CSPM bietet Sicherheitskontrollen, die einen Teil der Anforderungen von NIST SP 800-53 Revision 5 unterstützen. Die Kontrollen führen automatisierte Sicherheitsprüfungen für bestimmte Ressourcen durch. AWS-Services Um diese Kontrollen zu aktivieren und zu verwalten, können Sie das NIST SP 800-53 Revision 5-Framework standardmäßig in Security Hub CSPM aktivieren. Beachten Sie, dass die Steuerungen die Anforderungen von NIST SP 800-53 Revision 5, die manuelle Prüfungen erfordern, nicht unterstützen.

Im Gegensatz zu anderen Frameworks schreibt das NIST SP 800-53 Revision 5-Framework nicht vor, wie seine Anforderungen bewertet werden sollten. Stattdessen enthält das Framework Richtlinien. In Security Hub CSPM stellen der Standard und die Kontrollen von NIST SP 800-53 Revision 5 das Verständnis des Dienstes in Bezug auf diese Richtlinien dar.

**Topics**
+ [Konfiguration der Ressourcenaufzeichnung für den Standard](#standards-reference-nist-800-53-recording)
+ [Festlegung, welche Kontrollen für die Norm gelten](#standards-reference-nist-800-53-controls)

## Konfiguration der Ressourcenaufzeichnung für Kontrollen, die für den Standard gelten
<a name="standards-reference-nist-800-53-recording"></a>

Um die Abdeckung und die Genauigkeit der Ergebnisse zu optimieren, ist es wichtig, die Ressourcenaufzeichnung zu aktivieren und zu konfigurieren, AWS Config bevor Sie den Standard NIST SP 800-53 Revision 5 in AWS Security Hub CSPM aktivieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle AWS Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Dies gilt in erster Linie für Steuerelemente mit einem Zeitplantyp, der *durch Änderung ausgelöst wurde*. Für einige Steuerelemente mit einem *periodischen* Zeitplan ist jedoch auch die Erfassung von Ressourcen erforderlich. Wenn die Ressourcenaufzeichnung nicht aktiviert oder korrekt konfiguriert ist, ist Security Hub CSPM möglicherweise nicht in der Lage, die entsprechenden Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten.

Informationen darüber, wie Security Hub CSPM die Ressourcenaufzeichnung in verwendet AWS Config, finden Sie unter. [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md) Informationen zur Konfiguration der Ressourcenaufzeichnung in AWS Config finden Sie unter [Arbeiten mit dem Konfigurationsrekorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) im *AWS Config Entwicklerhandbuch*.

In der folgenden Tabelle sind die Ressourcentypen aufgeführt, die für Kontrollen aufgezeichnet werden müssen, die für den Standard NIST SP 800-53 Revision 5 in Security Hub CSPM gelten.


| AWS-Service | Ressourcentypen | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (ICH BIN)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Amazon-Dienst  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon-S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon-Simple-Notification-Service (Amazon-SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon-Simple-Queue-Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker KI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Feststellen, welche Kontrollen für den Standard gelten
<a name="standards-reference-nist-800-53-controls"></a>

In der folgenden Liste sind die Kontrollen aufgeführt, die die Anforderungen von NIST SP 800-53 Revision 5 unterstützen und für den Standard NIST SP 800-53 Revision 5 in AWS Security Hub CSPM gelten. Einzelheiten zu den spezifischen Anforderungen, die ein Steuerelement unterstützt, erhalten Sie, wenn Sie das Steuerelement auswählen. Weitere Informationen finden Sie in den Details für das Steuerelement im Feld „**Verwandte Anforderungen**“. Dieses Feld gibt jede NIST-Anforderung an, die das Steuerelement unterstützt. Wenn das Feld keine bestimmte NIST-Anforderung spezifiziert, unterstützt das Steuerelement die Anforderung nicht.
+ [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)
+ [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1)
+ [[APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3) 
+  [[Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 
+  [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] Event-Datenspeicher in CloudTrail Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 
+  [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 
+  [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein](ec2-controls.md#ec2-1) 
+  [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 
+  [[EC2.3] Angehängte Amazon EBS-Volumes sollten im Ruhezustand verschlüsselt werden](ec2-controls.md#ec2-3) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 
+  [[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7) 
+  [[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8) 
+  [[EC2.9] Amazon EC2 EC2-Instances sollten keine öffentliche Adresse haben IPv4](ec2-controls.md#ec2-9) 
+  [[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon EC2-Service erstellt wurden](ec2-controls.md#ec2-10) 
+  [[EC2.12] Unbenutztes Amazon EC2 sollte entfernt EIPs werden](ec2-controls.md#ec2-12) 
+  [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13) 
+  [[EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ec2-controls.md#ec2-15) 
+  [[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden](ec2-controls.md#ec2-16) 
+  [[EC2.17] Amazon EC2 EC2-Instances sollten nicht mehrere verwenden ENIs](ec2-controls.md#ec2-17) 
+  [[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen](ec2-controls.md#ec2-18) 
+  [[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen](ec2-controls.md#ec2-19) 
+  [[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein](ec2-controls.md#ec2-20) 
+  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden](ec2-controls.md#ec2-28) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60)
+  [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 
+  [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 
+  [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 
+  [[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten](ecs-controls.md#ecs-1) 
+  [[ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden](ecs-controls.md#ecs-2) 
+  [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) 
+  [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9) 
+  [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12) 
+  [[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden](ecs-controls.md#ecs-17) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 
+  [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 
+  [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) 
+  [[EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein](eks-controls.md#eks-1) 
+  [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 
+  [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3) 
+  [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden](elb-controls.md#elb-1) 
+  [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden](elb-controls.md#elb-3) 
+  [[ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden](elb-controls.md#elb-4) 
+  [[ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein](elb-controls.md#elb-5) 
+  [[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein](elb-controls.md#elb-6) 
+  [[ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein](elb-controls.md#elb-7) 
+  [[ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config](elb-controls.md#elb-8) 
+  [[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein](elb-controls.md#elb-9) 
+  [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12) 
+  [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 
+  [[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](es-controls.md#es-1) 
+  [[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2) 
+  [[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](es-controls.md#es-3) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein](es-controls.md#es-5) 
+  [[ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben](es-controls.md#es-6) 
+  [[ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden](es-controls.md#es-7) 
+  [[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](es-controls.md#es-8) 
+  [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden](kms-controls.md#kms-3) 
+  [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4) 
+  [[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Lambda-Funktionen sollten sich in einer VPC befinden](lambda-controls.md#lambda-3) 
+  [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 
+  [[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein](msk-controls.md#msk-2) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein](mq-controls.md#mq-3) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 
+  [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 
+  [[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2) 
+  [[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3) 
+  [[RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-4) 
+  [[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden](rds-controls.md#rds-5) 
+  [[RDS.6] Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden](rds-controls.md#rds-6) 
+  [[RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein](rds-controls.md#rds-7) 
+  [[RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein](rds-controls.md#rds-8) 
+  [[RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-9)
+  [[RDS.10] Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden](rds-controls.md#rds-10) 
+  [[RDS.11] Bei RDS-Instances sollten automatische Backups aktiviert sein](rds-controls.md#rds-11) 
+  [[RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden](rds-controls.md#rds-12) 
+  [[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15) 
+  [[RDS.16] Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren](rds-controls.md#rds-16) 
+  [[RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](rds-controls.md#rds-17) 
+  [[RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden](rds-controls.md#rds-19) 
+  [[RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden](rds-controls.md#rds-20) 
+  [[RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden](rds-controls.md#rds-21) 
+  [[RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden](rds-controls.md#rds-22) 
+  [[RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden](rds-controls.md#rds-23) 
+  [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 
+  [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 
+  [[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden](rds-controls.md#rds-26) 
+  [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 
+  [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 
+  [[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1) 
+  [[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren](s3-controls.md#s3-2) 
+  [[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren](s3-controls.md#s3-3) 
+  [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5) 
+  [[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten](s3-controls.md#s3-6) 
+  [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7) 
+  [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8) 
+  [[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](s3-controls.md#s3-9) 
+  [[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-10) 
+  [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11) 
+  [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12) 
+  [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) 
+  [[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein](s3-controls.md#s3-14) 
+  [[S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein](s3-controls.md#s3-15) 
+  [[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19) 
+  [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] SNS-Themen sollten im Ruhezustand wie folgt verschlüsselt werden AWS KMS](sns-controls.md#sns-1) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2) 
+  [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3) 
+  [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 
+  [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [[WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-11) 
+  [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12) 

# NIST SP 800-171 Revision 2 im Security Hub CSPM
<a name="standards-reference-nist-800-171"></a>

Die NIST-Sonderveröffentlichung 800-171 Revision 2 (NIST SP 800-171 Rev. 2) ist ein Framework für Cybersicherheit und Compliance, das vom National Institute of Standards and Technology (NIST), einer Behörde, die Teil des US-Handelsministeriums ist, entwickelt wurde. Dieses Compliance-Framework enthält empfohlene Sicherheitsanforderungen für den Schutz der Vertraulichkeit kontrollierter, nicht klassifizierter Informationen in Systemen und Organisationen, die nicht Teil der US-Bundesregierung sind. *Kontrollierte, nicht klassifizierte Informationen*, auch *CUI* genannt, sind vertrauliche Informationen, die nicht den staatlichen Klassifizierungskriterien entsprechen, aber geschützt werden müssen. Es handelt sich um Informationen, die als sensibel gelten und von der US-Bundesregierung oder anderen Stellen im Auftrag der US-Bundesregierung erstellt oder in Besitz genommen wurden.

NIST SP 800-171 Rev. 2 enthält empfohlene Sicherheitsanforderungen zum Schutz der Vertraulichkeit von CUI in folgenden Fällen:
+ Die Informationen befinden sich in nichtföderalen Systemen und Organisationen,
+ Die nichtföderale Organisation sammelt oder verwaltet keine Informationen im Auftrag einer Bundesbehörde und nutzt oder betreibt kein System im Auftrag einer Behörde, und 
+ Für die CUI-Kategorie, die im CUI-Register aufgeführt ist, gibt es keine spezifischen Schutzanforderungen zum Schutz der Vertraulichkeit von CUI, die in den Genehmigungsgesetzen, Verordnungen oder behördlichen Richtlinien vorgeschrieben sind. 

Die Anforderungen gelten für alle Komponenten nichtstaatlicher Systeme und Organisationen, die CUI verarbeiten, speichern oder übertragen oder die Komponenten schützen. Weitere Informationen finden Sie unter [NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final) im *NIST* Computer Security Resource Center.

AWS Security Hub CSPM bietet Sicherheitskontrollen, die einen Teil der Anforderungen von NIST SP 800-171 Revision 2 unterstützen. Die Kontrollen führen automatisierte Sicherheitsprüfungen für bestimmte Ressourcen durch. AWS-Services Um diese Kontrollen zu aktivieren und zu verwalten, können Sie das NIST SP 800-171 Revision 2-Framework standardmäßig in Security Hub CSPM aktivieren. Beachten Sie, dass die Steuerungen die Anforderungen von NIST SP 800-171 Revision 2, die manuelle Prüfungen erfordern, nicht unterstützen.

**Topics**
+ [Konfiguration der Ressourcenaufzeichnung für den Standard](#standards-reference-nist-800-171-recording)
+ [Festlegung, welche Kontrollen für die Norm gelten](#standards-reference-nist-800-171-controls)

## Konfiguration der Ressourcenaufzeichnung für Kontrollen, die für den Standard gelten
<a name="standards-reference-nist-800-171-recording"></a>

Um die Abdeckung und die Genauigkeit der Ergebnisse zu optimieren, ist es wichtig, die Ressourcenaufzeichnung zu aktivieren und zu konfigurieren, AWS Config bevor Sie den Standard NIST SP 800-171 Revision 2 in AWS Security Hub CSPM aktivieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle AWS Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Andernfalls ist Security Hub CSPM möglicherweise nicht in der Lage, die geeigneten Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten.

Informationen darüber, wie Security Hub CSPM die Ressourcenaufzeichnung in verwendet AWS Config, finden Sie unter. [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md) Informationen zur Konfiguration der Ressourcenaufzeichnung in AWS Config finden Sie unter [Arbeiten mit dem Konfigurationsrekorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) im *AWS Config Entwicklerhandbuch*.

In der folgenden Tabelle sind die Ressourcentypen aufgeführt, die für Kontrollen aufgezeichnet werden müssen, die für den Standard NIST SP 800-171 Revision 2 in Security Hub CSPM gelten.


| AWS-Service | Ressourcentypen | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(ICH BIN) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Festlegung, welche Kontrollen für den Standard gelten
<a name="standards-reference-nist-800-171-controls"></a>

In der folgenden Liste sind die Kontrollen aufgeführt, die die Anforderungen von NIST SP 800-171 Revision 2 unterstützen und für den Standard NIST SP 800-171 Revision 2 in AWS Security Hub CSPM gelten. Einzelheiten zu den spezifischen Anforderungen, die ein Steuerelement unterstützt, erhalten Sie, wenn Sie das Steuerelement auswählen. Weitere Informationen finden Sie in den Details für das Steuerelement im Feld „**Verwandte Anforderungen**“. Dieses Feld gibt jede NIST-Anforderung an, die das Steuerelement unterstützt. Wenn das Feld keine bestimmte NIST-Anforderung spezifiziert, unterstützt das Steuerelement die Anforderung nicht.
+ [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1)
+ [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon EC2-Service erstellt wurden](ec2-controls.md#ec2-10)
+ [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13)
+ [[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden](ec2-controls.md#ec2-16)
+ [[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen](ec2-controls.md#ec2-18)
+ [[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen](ec2-controls.md#ec2-19)
+ [[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein](ec2-controls.md#ec2-20)
+ [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)
+ [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51)
+ [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden](elb-controls.md#elb-3)
+ [[ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1)
+ [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1)
+ [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)
+ [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7)
+ [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)
+ [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10)
+ [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11)
+ [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12)
+ [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13)
+ [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14)
+ [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)
+ [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)
+ [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19)
+ [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21)
+ [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)
+ [[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten](s3-controls.md#s3-6)
+ [[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](s3-controls.md#s3-9)
+ [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11)
+ [[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein](s3-controls.md#s3-14)
+ [[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] SNS-Themen sollten im Ruhezustand wie folgt verschlüsselt werden AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2)
+ [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12)

# PCI DSS im Security Hub CSPM
<a name="pci-standard"></a>

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Compliance-Framework eines Drittanbieters, das eine Reihe von Regeln und Richtlinien für den sicheren Umgang mit Kredit- und Debitkarteninformationen enthält. Der PCI Security Standards Council (SSC) erstellt und aktualisiert dieses Framework.

AWS Security Hub CSPM bietet einen PCI-DSS-Standard, der Ihnen helfen kann, die Einhaltung dieses Drittanbieter-Frameworks zu gewährleisten. Sie können diesen Standard verwenden, um Sicherheitslücken in AWS Ressourcen zu entdecken, die Karteninhaberdaten verarbeiten. Wir empfehlen AWS-Konten , diesen Standard für Ressourcen zu aktivieren, die Karteninhaberdaten oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen. Durch Prüfungen durch das PCI SSC wurde dieser Standard bestätigt.

Security Hub CSPM bietet Unterstützung für PCI DSS v3.2.1 und PCI DSS v4.0.1. Wir empfehlen die Verwendung von Version 4.0.1, um über bewährte Sicherheitsmethoden auf dem Laufenden zu bleiben. Sie können beide Versionen des Standards gleichzeitig aktivieren. Informationen zur Aktivierung von Standards finden Sie unter[Einen Sicherheitsstandard aktivieren](enable-standards.md). Wenn Sie derzeit Version 3.2.1 verwenden, aber nur Version 4.0.1 verwenden möchten, aktivieren Sie die neuere Version, bevor Sie die ältere Version deaktivieren. Dadurch werden Lücken in Ihren Sicherheitsüberprüfungen vermieden. Wenn Sie die Security Hub CSPM-Integration mit verwenden AWS Organizations und v4.0.1 in mehreren Konten stapelweise aktivieren möchten, empfehlen wir, dafür die [zentrale Konfiguration](central-configuration-intro.md) zu verwenden.

In den folgenden Abschnitten wird angegeben, welche Kontrollen für PCI DSS v3.2.1 und PCI DSS v4.0.1 gelten.

## Kontrollen, die für PCI DSS v3.2.1 gelten
<a name="pci-controls"></a>

Die folgende Liste gibt an, welche Security Hub CSPM-Steuerelemente für PCI DSS v3.2.1 gelten. Um die Details einer Steuerung zu überprüfen, wählen Sie die Steuerung aus.

 [[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-3) 

 [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1) 

 [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 

 [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 

 [[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1) 

 [[EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein](ec2-controls.md#ec2-1) 

 [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 

 [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 

 [[EC2.12] Unbenutztes Amazon EC2 sollte entfernt EIPs werden](ec2-controls.md#ec2-12) 

 [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13) 

 [[ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden](elb-controls.md#elb-1) 

 [[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](es-controls.md#es-1) 

 [[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2) 

 [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1) 

 [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 

 [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 

 [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 

 [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 

 [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 

 [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 

 [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10) 

 [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 

 [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4) 

 [[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1) 

 [[Lambda.3] Lambda-Funktionen sollten sich in einer VPC befinden](lambda-controls.md#lambda-3) 

 [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 

 [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 

 [[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2) 

 [[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1) 

 [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1) 

 [[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren](s3-controls.md#s3-2) 

 [[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren](s3-controls.md#s3-3) 

 [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5) 

 [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7) 

 [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 

 [[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2) 

 [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3) 

## Kontrollen, die für PCI DSS v4.0.1 gelten
<a name="pci4-controls"></a>

Die folgende Liste gibt an, welche Security Hub CSPM-Steuerelemente für PCI DSS v4.0.1 gelten. Um die Details eines Steuerelements zu überprüfen, wählen Sie das Steuerelement aus.

[[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1)

[[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2)

[[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9)

[[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2)

[[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3)

[[Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben](autoscaling-controls.md#autoscaling-5)

[Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1)

[[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10)

[[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12)

[[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3)

[[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5)

[[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6)

[[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-3)

[[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6)

[[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7)

[[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1)

[[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2)

[[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3)

[[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1)

[[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10)

[[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11)

[[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12)

[[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6)

[[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7)

[[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8)

[[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9)

[[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2)

[[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3)

[[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4)

[[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7)

[[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13)

[[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14)

[[EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ec2-controls.md#ec2-15)

[[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden](ec2-controls.md#ec2-16)

[[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170)

[[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein](ec2-controls.md#ec2-171)

[[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)

[[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25)

[[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51)

[[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53)

[[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54)

[[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8)

[[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1)

[[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10)

[[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ecs-controls.md#ecs-16)

[[ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden](ecs-controls.md#ecs-2)

[[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8)

[[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4)

[[EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein](eks-controls.md#eks-1)

[[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2)

[[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3)

[[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8)

[[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2)

[[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5)

[[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6)

[[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12)

[[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14)

[[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden](elb-controls.md#elb-3)

[[ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden](elb-controls.md#elb-4)

[[ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config](elb-controls.md#elb-8)

[[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1)

[[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2)

[[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2)

[[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](es-controls.md#es-3)

[[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein](es-controls.md#es-5)

[[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](es-controls.md#es-8)

[[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3)

[[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1)

[[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-10)

[[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein](guardduty-controls.md#guardduty-6)

[[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7)

[[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9)

[[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)

[[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)

[[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)

[[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7)

[[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)

[[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)

[[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11)

[[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12)

[[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14)

[[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)

[[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17)

[[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)

[[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19)

[[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1)

[[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2)

[[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3)

[[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4)

[[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)

[[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1)

[[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)

[[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2)

[[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein](mq-controls.md#mq-3)

[[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1)

[[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3)

[[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2)

[[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3)

[Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10)

[Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5)

[[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13)

[[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden](rds-controls.md#rds-20)

[[RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden](rds-controls.md#rds-21)

[[RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden](rds-controls.md#rds-22)

[[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24)

[[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25)

[[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34)

[[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35)

[[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-36)

[[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37)

[[RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-9)

[[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1)

[[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen](redshift-controls.md#redshift-15)

[[Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden](redshift-controls.md#redshift-2)

[[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein](redshift-controls.md#redshift-4)

[[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2)

[[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)

[[S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein](s3-controls.md#s3-15)

[[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys](s3-controls.md#s3-17)

[[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19)

[[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22)

[[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23)

[[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24)

[[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)

[[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)

[[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](s3-controls.md#s3-9)

[[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1)

[[SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein](secretsmanager-controls.md#secretsmanager-1)

[[SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren](secretsmanager-controls.md#secretsmanager-2)

[[SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden](secretsmanager-controls.md#secretsmanager-4)

[[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2)

[[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3)

[[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1)

[[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2)

[[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1)

[[WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-11)

# Von Diensten verwaltete Standards in Security Hub CSPM
<a name="service-managed-standards"></a>

Ein vom Service verwalteter Standard ist ein Sicherheitsstandard, der von einem anderen AWS-Service verwaltet wird, den Sie jedoch in Security Hub CSPM einsehen können. Zum Beispiel ist [Service-Managed Standard: ein vom Service verwalteter Standard](service-managed-standard-aws-control-tower.md), der verwaltet AWS Control Tower wird. AWS Control Tower Ein Service-Managed-Standard unterscheidet sich auf folgende Weise von einem AWS Sicherheitsstandard, den Security Hub CSPM verwaltet:
+ **Erstellung und Löschung von Standards** — Sie erstellen und löschen einen vom Service verwalteten Standard mit der Konsole oder API des verwaltenden Dienstes oder mit dem. AWS CLI Solange Sie den Standard nicht auf eine dieser Arten im Verwaltungsdienst erstellt haben, wird der Standard nicht in der Security Hub CSPM-Konsole angezeigt und ist nicht über die Security Hub CSPM-API zugänglich oder. AWS CLI
+ **Keine automatische Aktivierung von Kontrollen** — Wenn Sie einen vom Service verwalteten Standard erstellen, aktivieren Security Hub CSPM und der Verwaltungsdienst nicht automatisch die Kontrollen, die für den Standard gelten. Wenn Security Hub CSPM neue Kontrollen für den Standard veröffentlicht, werden diese außerdem nicht automatisch aktiviert. Dies ist eine Abkehr von den Standards, die Security Hub CSPM verwaltet. Weitere Informationen zur üblichen Konfiguration von Steuerelementen in Security Hub CSPM finden Sie unter. [Grundlegendes zu den Sicherheitskontrollen in Security Hub CSPM](controls-view-manage.md)
+ Steuerungen **aktivieren und deaktivieren — Wir empfehlen, die Steuerungen** im Verwaltungsdienst zu aktivieren und zu deaktivieren, um Abweichungen zu vermeiden.
+ **Verfügbarkeit von Kontrollen** — Der Verwaltungsdienst entscheidet, welche Kontrollen im Rahmen des vom Service verwalteten Standards verfügbar sind. Die verfügbaren Kontrollen können alle oder einen Teil der vorhandenen Security Hub CSPM-Steuerelemente umfassen.

Nachdem der Verwaltungsdienst den vom Service verwalteten Standard erstellt und Kontrollen dafür verfügbar gemacht hat, können Sie in der Security Hub CSPM-Konsole, der Security Hub CSPM-API oder auf Ihre Kontrollergebnisse, Kontrollstatus und Standardsicherheitsbewertung zugreifen. AWS CLI Einige oder alle dieser Informationen sind möglicherweise auch im Verwaltungsdienst verfügbar.

Wählen Sie einen vom Service verwalteten Standard aus der folgenden Liste aus, um weitere Informationen zu diesem Standard zu erhalten.

**Topics**
+ [

# Vom Service verwalteter Standard: AWS Control Tower
](service-managed-standard-aws-control-tower.md)

# Vom Service verwalteter Standard: AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

Dieser Abschnitt enthält Informationen zum Service-Managed Standard:. AWS Control Tower

## Was ist Service-Managed Standard:? AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

Service-Managed Standard: AWS Control Tower ist ein vom Service verwalteter Standard, der eine Teilmenge der Security Hub-Steuerelemente AWS Control Tower verwaltet und unterstützt. Dieser Standard richtet sich an Benutzer von AWS Security Hub CSPM und. AWS Control Tower Damit können Sie die Detective Controls von Security Hub CSPM vom AWS Control Tower Service aus konfigurieren.

Detective Controls erkennt die Nichtkonformität von Ressourcen (z. B. Fehlkonfigurationen) in Ihrem. AWS-Konten

**Tipp**  
Von Services verwaltete Standards unterscheiden sich von den Standards, die AWS Security Hub CSPM verwaltet. Beispielsweise müssen Sie im Verwaltungsdienst einen vom Dienst verwalteten Standard erstellen und löschen. Weitere Informationen finden Sie unter [Von Diensten verwaltete Standards in Security Hub CSPM](service-managed-standards.md).

Wenn Sie eine Security Hub-CSPM-Steuerung aktivieren AWS Control Tower, aktiviert Control Tower auch Security Hub CSPM für Sie in diesen spezifischen Konten und Regionen, sofern dies nicht bereits aktiviert ist. In der Security Hub CSPM-Konsole und API können Sie Service-Managed Standard: AWS Control Tower neben anderen Security Hub CSPM-Standards anzeigen, sobald der Standard aktiviert ist. AWS Control Tower

Weitere Informationen zu diesem Standard finden Sie unter [Security Hub CSPM-Steuerelemente](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) im *AWS Control Tower Benutzerhandbuch*.

## Den Standard erstellen
<a name="aws-control-tower-standard-creation"></a>

Dieser Standard ist in Security Hub CSPM nur verfügbar, wenn Sie Security Hub CSPM-Steuerungen von aktivieren. AWS Control Tower AWS Control Tower erstellt den Standard, wenn Sie ein entsprechendes Steuerelement zum ersten Mal mithilfe einer der folgenden Methoden aktivieren:
+ AWS Control Tower Konsole
+ AWS Control Tower API (rufen Sie die [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API auf)
+ AWS CLI (führe den [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)Befehl aus)

Wenn Sie eine Security Hub CSPM-Steuerung aktivieren, aktiviert Security Hub CSPM AWS Control Tower, sofern Sie Security Hub CSPM noch nicht aktiviert haben, AWS Control Tower auch Security Hub CSPM für Sie in diesen spezifischen Konten und Regionen.

Um ein Security Hub-CSPM-Steuerelement anhand der Kontroll-ID im Kontrollkatalog zu identifizieren, können Sie das Feld `Implementation.Identifier` in verwenden. AWS Control Tower Dieses Feld ist der Security Hub CSPM-Steuer-ID zugeordnet und kann verwendet werden, um nach einer bestimmten Kontroll-ID zu filtern. Um Kontrollmetadaten für ein bestimmtes Security Hub CSPM-Steuerelement (z. B. "CodeBuild.1") in abzurufen AWS Control Tower, können Sie die API verwenden: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

Sie können diesen Standard nicht in der Security Hub CSPM-Konsole, der Security Hub CSPM-API oder AWS CLI ohne vorherige Einrichtung AWS Control Tower und Aktivierung der Security Hub CSPM-Steuerelemente AWS Control Tower mit einer der oben genannten Methoden anzeigen oder darauf zugreifen.

[Dieser Standard ist nur dort verfügbar, wo er verfügbar ist.AWS-RegionenAWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)

## Steuerungen im Standard aktivieren und deaktivieren
<a name="aws-control-tower-standard-managing-controls"></a>

Nachdem Sie Security Hub CSPM Controls aktiviert haben AWS Control Tower und der Service-Managed Standard: AWS Control Tower Standard erstellt wurde, können Sie den Standard und die verfügbaren Kontrollen in Security Hub CSPM einsehen.

Wenn Security Hub CSPM dem Service-Managed Standard: AWS Control Tower Standard neue Steuerelemente hinzufügt, werden diese nicht automatisch für Kunden aktiviert, die den Standard aktiviert haben. Sie sollten die Steuerungen für den Standard AWS Control Tower von mit einer der folgenden Methoden aktivieren und deaktivieren:
+ AWS Control Tower Konsole
+ AWS Control Tower API (rufe das [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)und auf [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (führe die [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)Befehle [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)und aus)

Wenn Sie den Aktivierungsstatus eines Steuerelements in ändern AWS Control Tower, spiegelt sich die Änderung auch in Security Hub CSPM wider.

Die Deaktivierung eines Steuerelements in Security Hub CSPM, das aktiviert ist, AWS Control Tower führt jedoch zu Kontrollabweichungen. Der Kontrollstatus in AWS Control Tower wird als angezeigt. `Drifted` Sie können diese Abweichung beheben, indem Sie mithilfe der [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API die Steuerung zurücksetzen, für die Drift gilt, oder indem [Sie in der AWS Control Tower Konsole die Option Organisationseinheit erneut registrieren](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) auswählen oder indem Sie die Steuerung deaktivieren und erneut aktivieren, indem Sie eine der AWS Control Tower oben genannten Methoden verwenden.

Wenn Sie die Aktivierungs- und Deaktivierungsaktionen in abschließen, können Sie Kontrollabweichungen vermeiden. AWS Control Tower 

Wenn Sie Kontrollen in aktivieren oder deaktivieren, gilt die Aktion für alle Konten und Regionen AWS Control Tower, die von verwaltet werden. AWS Control Tower Wenn Sie Kontrollen in Security Hub CSPM aktivieren und deaktivieren (für diesen Standard nicht empfohlen), gilt die Aktion nur für das aktuelle Konto und die Region.

**Anmerkung**  
[Die zentrale Konfiguration](central-configuration-intro.md) kann nicht zur Verwaltung von Service-Managed Standard: verwendet werden. AWS Control Tower Sie können *nur* den AWS Control Tower Dienst verwenden, um die Steuerungen in diesem Standard zu aktivieren und zu deaktivieren.

## Aktivierungsstatus und Kontrollstatus anzeigen
<a name="aws-control-tower-standard-control-status"></a>

Sie können den Aktivierungsstatus einer Kontrolle mit einer der folgenden Methoden anzeigen:
+ Security Hub CSPM-Konsole, Security Hub CSPM-API oder AWS CLI
+ AWS Control Tower Konsole
+ AWS Control Tower API, um eine Liste der aktivierten Steuerelemente zu sehen (rufen Sie die [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API auf)
+ AWS CLI um eine Liste der aktivierten Steuerelemente zu sehen (führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)Befehl aus)

Ein Steuerelement, das Sie deaktivieren, AWS Control Tower hat den Aktivierungsstatus `Disabled` in Security Hub CSPM, sofern Sie dieses Steuerelement nicht explizit in Security Hub CSPM aktivieren.

Security Hub CSPM berechnet den Kontrollstatus auf der Grundlage des Workflow-Status und des Compliance-Status der Kontrollergebnisse. Weitere Informationen zum Aktivierungsstatus und zum Kontrollstatus finden Sie unter. [Überprüfung der Details der Kontrollen in Security Hub CSPM](securityhub-standards-control-details.md)

Auf der Grundlage des Kontrollstatus berechnet Security Hub CSPM eine [Sicherheitsbewertung](standards-security-score.md) für Service-Managed Standard:. AWS Control Tower Diese Bewertung ist nur in Security Hub CSPM verfügbar. Darüber hinaus können Sie [Kontrollergebnisse](controls-findings-create-update.md) nur in Security Hub CSPM anzeigen. Die Standard-Sicherheitsbewertung und die Kontrollergebnisse sind in nicht verfügbar. AWS Control Tower

**Anmerkung**  
Wenn Sie Kontrollen für Service-Managed Standard: aktivieren AWS Control Tower, kann es bis zu 18 Stunden dauern, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die eine bestehende AWS Config serviceverknüpfte Regel verwenden. Möglicherweise verfügen Sie bereits über serviceverknüpfte Regeln, wenn Sie andere Standards und Kontrollen in Security Hub CSPM aktiviert haben. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

## Den Standard löschen
<a name="aws-control-tower-standard-deletion"></a>

Sie können diesen vom Dienst verwalteten Standard löschen, AWS Control Tower indem Sie alle entsprechenden Steuerelemente mit einer der folgenden Methoden deaktivieren:
+ AWS Control Tower Konsole
+ AWS Control Tower API (rufen Sie die [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API auf)
+ AWS CLI (führe den [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)Befehl aus)

Durch das Deaktivieren aller Steuerelemente wird der Standard in allen verwalteten Konten und verwalteten Regionen in gelöscht. AWS Control Tower Wenn Sie den Standard-in löschen, wird er von der Seite **Standards** der Security Hub CSPM-Konsole AWS Control Tower entfernt, und Sie können nicht mehr mit der Security Hub CSPM-API darauf zugreifen oder. AWS CLI

**Anmerkung**  
 Durch die Deaktivierung aller Steuerelemente aus dem Standard in Security Hub CSPM wird der Standard nicht deaktiviert oder gelöscht. 

Durch die Deaktivierung des Security Hub CSPM-Dienstes werden Service-Managed Standard: AWS Control Tower und alle anderen Standards, die Sie aktiviert haben, entfernt.

## Das Feldformat für Service-Managed Standard finden: AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Wenn Sie Service-Managed Standard: erstellen AWS Control Tower und Kontrollen dafür aktivieren, erhalten Sie ab sofort Kontrollergebnisse in Security Hub CSPM. Security Hub CSPM meldet Kontrollergebnisse in der. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md) Dies sind die ASFF-Werte für den Amazon Resource Name (ARN) dieses Standards und`GeneratorId`:
+ **Standard-ARN** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

Ein Beispiel für einen Befund für Service-Managed Standard: finden Sie AWS Control Tower unter[Stichproben von Kontrollbefunden](sample-control-findings.md).

## Kontrollen, die für Service-Managed Standard gelten: AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

Service-Managed Standard: AWS Control Tower unterstützt eine Teilmenge von Kontrollen, die Teil des FSBP-Standards ( AWS Foundational Security Best Practices) sind. Wählen Sie ein Steuerelement aus, um Informationen darüber anzuzeigen, einschließlich Schritte zur Behebung fehlgeschlagener Ergebnisse.

Um zu sehen, von welchen Security Hub CSPM-Steuerelementen unterstützt werden AWS Control Tower, können Sie eine der folgenden Methoden verwenden:
+ AWS Steuern Sie die Catalog-Konsole, nach der Sie filtern können `“Control owner = AWS Security Hub”`
+ AWS Steuern Sie die Katalog-API (rufen Sie die [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API auf) mit dem Filter für`Implementations`, nach dem gesucht werden `Types` soll `AWS::SecurityHub::SecurityControl`
+ AWS CLI (führe den [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)Befehl aus) mit Filter für`Implementations`. Beispiel für einen CLI-Befehl:

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

Regionale Grenzwerte für Security Hub CSPM-Steuerungen, wenn sie über den Control Tower Tower-Standard aktiviert sind, stimmen möglicherweise nicht mit den regionalen Grenzwerten für die zugrunde liegenden Kontrollen überein.

Wenn in Security Hub CSPM [konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings) in Ihrem Konto deaktiviert sind, verwendet das `ProductFields.ControlId` Feld in den generierten Ergebnissen die standardbasierte Kontroll-ID. **Die standardbasierte Kontroll-ID ist als CT formatiert. ***ControlId***(zum Beispiel CT. CodeBuild**.1).

Weitere Informationen zu diesem Standard finden Sie unter [Security Hub CSPM-Steuerelemente](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) im *AWS Control Tower Benutzerhandbuch*.

# Einen Sicherheitsstandard aktivieren
<a name="enable-standards"></a>

Wenn Sie einen Sicherheitsstandard in AWS Security Hub CSPM aktivieren, erstellt und aktiviert Security Hub CSPM automatisch alle Kontrollen, die für den Standard gelten. Security Hub CSPM beginnt auch mit der Durchführung von Sicherheitsprüfungen und der Generierung von Ergebnissen für die Kontrollen.

Um die Abdeckung und Genauigkeit der Ergebnisse zu optimieren, aktivieren und konfigurieren Sie die Ressourcenaufzeichnung, AWS Config bevor Sie einen Standard aktivieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Andernfalls ist Security Hub CSPM möglicherweise nicht in der Lage, die geeigneten Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten. Weitere Informationen finden Sie unter [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md).

Nachdem Sie einen Standard aktiviert haben, können Sie einzelne Kontrollen, die für den Standard gelten, deaktivieren oder später wieder aktivieren. Wenn Sie ein Steuerelement für einen Standard deaktivieren, generiert Security Hub CSPM keine Ergebnisse mehr für das Steuerelement. Darüber hinaus ignoriert Security Hub CSPM das Steuerelement bei der Berechnung der Sicherheitsbewertung für den Standard. Die Sicherheitsbewertung ist der Prozentsatz der Kontrollen, die die Bewertung bestanden haben, im Verhältnis zur Gesamtzahl der Kontrollen, die für den Standard gelten, aktiviert sind und über Bewertungsdaten verfügen.

Wenn Sie einen Standard aktivieren, generiert Security Hub CSPM eine vorläufige Sicherheitsbewertung für den Standard, in der Regel innerhalb von 30 Minuten nach Ihrem ersten Besuch der Seite **Zusammenfassung** oder **Sicherheitsstandards auf der Security** Hub CSPM-Konsole. Sicherheitsbewertungen werden nur für Standards generiert, die aktiviert sind, wenn Sie diese Seiten auf der Konsole aufrufen. Darüber hinaus muss die Ressourcenaufzeichnung konfiguriert sein, damit AWS Config die Punktzahlen angezeigt werden. In den China Regionen und kann es bis zu 24 Stunden dauern AWS GovCloud (US) Regions, bis Security Hub CSPM eine vorläufige Sicherheitsbewertung für einen Standard generiert. Nachdem Security Hub CSPM eine vorläufige Bewertung generiert hat, wird die Bewertung alle 24 Stunden aktualisiert. Um festzustellen, wann eine Sicherheitsbewertung zuletzt aktualisiert wurde, können Sie sich auf einen Zeitstempel beziehen, den Security Hub CSPM für die Bewertung bereitstellt. Weitere Informationen finden Sie unter [Berechnung von Sicherheitswerten](standards-security-score.md).

Wie Sie einen Standard aktivieren, hängt davon ab, ob Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, um Security Hub CSPM für mehrere Konten zu verwalten und. AWS-Regionen Wir empfehlen die zentrale Konfiguration, wenn Sie Standards in Umgebungen mit mehreren Konten und mehreren Regionen aktivieren möchten. Sie können die zentrale Konfiguration verwenden, wenn Sie Security Hub CSPM mit integrieren. AWS Organizations Wenn Sie die zentrale Konfiguration nicht verwenden, müssen Sie jeden Standard separat in jedem Konto und jeder Region aktivieren.

**Topics**
+ [

## Aktivierung eines Standards in mehreren Konten und AWS-Regionen
](#enable-standards-central-configuration)
+ [

## Aktivierung eines Standards in einem einzigen Konto und AWS-Region
](#securityhub-standard-enable-console)
+ [

## Den Status eines Standards überprüfen
](#standard-subscription-status)

## Aktivierung eines Standards in mehreren Konten und AWS-Regionen
<a name="enable-standards-central-configuration"></a>

Verwenden Sie die [zentrale Konfiguration, um einen Sicherheitsstandard für mehrere Konten zu aktivieren und AWS-Regionen zu konfigurieren](central-configuration-intro.md). Bei der zentralen Konfiguration kann der delegierte Security Hub CSPM-Administrator Security Hub CSPM-Konfigurationsrichtlinien erstellen, die einen oder mehrere Standards aktivieren. Der Administrator kann dann einzelnen Konten, Organisationseinheiten (OUs) oder dem Stammkonto eine Konfigurationsrichtlinie zuordnen. Eine Konfigurationsrichtlinie wirkt sich auf die Heimatregion, die auch als *Aggregationsregion* bezeichnet wird, und auf alle verknüpften Regionen aus.

Konfigurationsrichtlinien bieten Anpassungsoptionen. Sie können sich beispielsweise dafür entscheiden, nur den FSBP-Standard ( AWS Foundational Security Best Practices) für eine Organisationseinheit zu aktivieren. Für eine andere Organisationseinheit könnten Sie sich dafür entscheiden, sowohl den FSBP-Standard als auch den Benchmark v1.4.0-Standard der Center for Internet Security (CIS) AWS Foundations zu aktivieren. Informationen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte von Ihnen angegebene Standards aktiviert, finden Sie unter. [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md)

Wenn Sie die zentrale Konfiguration verwenden, aktiviert Security Hub CSPM nicht automatisch Standards in neuen oder bestehenden Konten. Stattdessen gibt der Security Hub CSPM-Administrator an, welche Standards für verschiedene Konten aktiviert werden sollen, wenn er Security Hub CSPM-Konfigurationsrichtlinien für seine Organisation erstellt. Security Hub CSPM bietet eine empfohlene Konfigurationsrichtlinie, in der nur der FSBP-Standard aktiviert ist. Weitere Informationen finden Sie unter [Arten von Konfigurationsrichtlinien](configuration-policies-overview.md#policy-types).

**Anmerkung**  
Der Security Hub CSPM-Administrator kann mithilfe von Konfigurationsrichtlinien jeden Standard außer dem vom [AWS Control Tower Service](service-managed-standard-aws-control-tower.md) verwalteten Standard aktivieren. Um diesen Standard zu aktivieren, muss der Administrator ihn direkt verwenden. AWS Control Tower Sie müssen außerdem einzelne Steuerungen in diesem Standard für ein zentral verwaltetes Konto aktivieren oder deaktivieren. AWS Control Tower 

*Wenn Sie möchten, dass einige Konten Standards für ihre eigenen Konten aktivieren und konfigurieren, kann der Security Hub CSPM-Administrator diese Konten als selbstverwaltete Konten kennzeichnen.* Selbstverwaltete Konten müssen Standards in jeder Region separat aktivieren und konfigurieren.

## Aktivierung eines Standards in einem einzigen Konto und AWS-Region
<a name="securityhub-standard-enable-console"></a>

Wenn Sie keine zentrale Konfiguration verwenden oder über ein selbstverwaltetes Konto verfügen, können Sie keine Konfigurationsrichtlinien verwenden, um Sicherheitsstandards zentral in mehreren Konten zu aktivieren oder AWS-Regionen. Sie können jedoch einen Standard für ein einzelnes Konto und eine Region aktivieren. Sie können dies mithilfe der Security Hub CSPM-Konsole oder der Security Hub CSPM-API tun.

------
#### [ Security Hub CSPM console ]

Gehen Sie wie folgt vor, um mithilfe der Security Hub CSPM-Konsole einen Standard für ein Konto und eine Region zu aktivieren.

**Um einen Standard in einem Konto und einer Region zu aktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie den Standard aktivieren möchten.

1. **Wählen Sie im Navigationsbereich die Option Sicherheitsstandards aus.** Auf der Seite **Sicherheitsstandards** sind alle Standards aufgeführt, die Security Hub CSPM derzeit unterstützt. Wenn Sie bereits einen Standard aktiviert haben, enthält der Abschnitt für den Standard die aktuelle Sicherheitsbewertung und zusätzliche Details zum Standard.

1. Wählen Sie im Abschnitt für den Standard, den Sie aktivieren möchten, die Option **Standard aktivieren** aus.

Um den Standard in weiteren Regionen zu aktivieren, wiederholen Sie die vorherigen Schritte in jeder weiteren Region.

------
#### [ Security Hub CSPM API ]

Verwenden Sie den Vorgang, um einen Standard programmgesteuert in einem einzigen Konto und einer Region zu aktivieren. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html) Oder, wenn Sie die AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html)Befehl aus.

Verwenden Sie in Ihrer Anfrage den `StandardsArn` Parameter, um den Amazon-Ressourcennamen (ARN) des Standards anzugeben, den Sie aktivieren möchten. Geben Sie auch die Region an, für die Ihre Anfrage gilt. Mit dem folgenden Befehl wird beispielsweise der FSBP-Standard ( AWS Foundational Security Best Practices) aktiviert:

```
$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1
```

Wo *arn:aws:securityhub:*us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0** ist der ARN des FSBP-Standards in der Region USA Ost (Nord-Virginia), und *us-east-1* ist die Region, in der er aktiviert werden soll.

Um den ARN für einen Standard abzurufen, verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)Vorgang oder, falls Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)Befehl aus.

Um zunächst eine Liste der Standards zu überprüfen, die derzeit in Ihrem Konto aktiviert sind, können Sie den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)Vorgang verwenden. Wenn Sie den verwenden AWS CLI, können Sie den [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)Befehl ausführen, um diese Liste abzurufen.

------

Nachdem Sie einen Standard aktiviert haben, beginnt Security Hub CSPM mit der Ausführung von Aufgaben, um den Standard im Konto und in der angegebenen Region zu aktivieren. Dazu gehört die Erstellung aller Kontrollen, die für den Standard gelten. Um den Status dieser Aufgaben zu überwachen, können Sie den Status des Standards für das Konto und die Region überprüfen.

## Den Status eines Standards überprüfen
<a name="standard-subscription-status"></a>

Wenn Sie einen Sicherheitsstandard für ein Konto aktivieren, beginnt Security Hub CSPM mit der Erstellung aller Kontrollen, die für den Standard im Konto gelten. Security Hub CSPM führt auch zusätzliche Aufgaben aus, um den Standard für das Konto zu aktivieren, z. B. die Generierung einer vorläufigen Sicherheitsbewertung für den Standard. Während Security Hub CSPM diese Aufgaben ausführt, bezieht sich der Status des Standards auf das *Pending*Konto. Der Status des Standards durchläuft dann weitere Status, die Sie überwachen und überprüfen können.

**Anmerkung**  
Änderungen an einzelnen Kontrollen für eine Norm wirken sich nicht auf den Gesamtstatus der Norm aus. Wenn Sie beispielsweise ein Steuerelement aktivieren, das Sie zuvor deaktiviert haben, wirkt sich Ihre Änderung nicht auf den Status des Standards aus. Ebenso wirkt sich Ihre Änderung nicht auf den Status des Standards aus, wenn Sie einen Parameterwert für ein aktiviertes Steuerelement ändern.

Um den Status eines Standards mithilfe der Security Hub CSPM-Konsole zu überprüfen, wählen Sie im Navigationsbereich **Sicherheitsstandards** aus. Auf der Seite **Sicherheitsstandards** sind alle Standards aufgeführt, die Security Hub CSPM derzeit unterstützt. Wenn Security Hub CSPM derzeit Aufgaben zur Aktivierung des Standards ausführt, gibt der Abschnitt für den Standard an, dass Security Hub CSPM immer noch eine Sicherheitsbewertung für den Standard generiert. Wenn ein Standard aktiviert ist, enthält der Abschnitt für den Standard die aktuelle Bewertung. Wählen Sie **Ergebnisse anzeigen**, um zusätzliche Details zu überprüfen, einschließlich des Status einzelner Kontrollen, die für den Standard gelten. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

Verwenden Sie den Vorgang, um den Status eines Standards programmgesteuert mit der Security Hub CSPM-API zu überprüfen. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) Verwenden Sie in Ihrer Anfrage optional den `StandardsSubscriptionArns` Parameter, um den Amazon-Ressourcennamen (ARN) des Standards anzugeben, dessen Status Sie überprüfen möchten. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, können Sie den [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)Befehl ausführen, um den Status eines Standards zu überprüfen. Verwenden Sie den `standards-subscription-arns` Parameter, um den ARN des zu prüfenden Standards anzugeben. Um zu ermitteln, welcher ARN angegeben werden soll, können Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)Vorgang verwenden oder für den den AWS CLI den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)Befehl ausführen.

Wenn Ihre Anfrage erfolgreich ist, antwortet Security Hub CSPM mit einer Reihe von Objekten. `StandardsSubscription` Ein *Standardabonnement* ist eine AWS Ressource, die Security Hub CSPM in einem Konto erstellt, wenn ein Standard für das Konto aktiviert ist. Jedes `StandardsSubscription` Objekt enthält Details zu einem Standard, der derzeit für das Konto aktiviert ist oder gerade aktiviert oder deaktiviert wird. In jedem Objekt gibt das `StandardsStatus` Feld den aktuellen Status des Standards für das Konto an.

Der Status eines Standards (`StandardsStatus`) kann einer der folgenden sein.

**PENDING**  
Security Hub CSPM führt derzeit Aufgaben aus, um den Standard für das Konto zu aktivieren. Dazu gehören die Erstellung der Kontrollen, die für den Standard gelten, und die Erstellung einer vorläufigen Sicherheitsbewertung für den Standard. Es kann mehrere Minuten dauern, bis Security Hub CSPM alle Aufgaben abgeschlossen hat. Ein Standard kann diesen Status auch haben, wenn er bereits für das Konto aktiviert ist und Security Hub CSPM dem Standard derzeit neue Steuerungen hinzufügt.  
Wenn ein Standard diesen Status hat, können Sie möglicherweise nicht die Details einzelner Kontrollen abrufen, die für den Standard gelten. Darüber hinaus sind Sie möglicherweise nicht in der Lage, einzelne Steuerelemente für den Standard zu konfigurieren oder zu deaktivieren. Wenn Sie beispielsweise versuchen, ein Steuerelement mithilfe des [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)Vorgangs zu deaktivieren, tritt ein Fehler auf.  
Anhand des Werts für das `StandardsControlsUpdatable` Feld können Sie feststellen, ob Sie einzelne Steuerelemente für den Standard konfigurieren oder anderweitig verwalten können. Wenn der Wert für dieses Feld lautet`READY_FOR_UPDATES`, können Sie mit der Verwaltung einzelner Steuerelemente für den Standard beginnen. Warten Sie andernfalls, bis Security Hub CSPM zusätzliche Verarbeitungsaufgaben abgeschlossen hat, um den Standard zu aktivieren.

**READY**  
Der Standard ist derzeit für das Konto aktiviert. Security Hub CSPM kann Sicherheitsprüfungen durchführen und Ergebnisse für alle Kontrollen generieren, die für den Standard gelten und derzeit aktiviert sind. Security Hub CSPM kann auch eine Sicherheitsbewertung für den Standard berechnen.  
Wenn ein Standard diesen Status hat, können Sie die Details der einzelnen Kontrollen abrufen, die für den Standard gelten. Darüber hinaus können Sie die Steuerelemente konfigurieren, deaktivieren oder erneut aktivieren. Sie können den Standard auch deaktivieren.

**INCOMPLETE**  
Security Hub CSPM konnte den Standard für das Konto nicht vollständig aktivieren. Security Hub CSPM kann keine Sicherheitsprüfungen durchführen und keine Ergebnisse für alle Kontrollen generieren, die für den Standard gelten und derzeit aktiviert sind. Darüber hinaus kann Security Hub CSPM keine Sicherheitsbewertung für den Standard berechnen.  
Anhand der Informationen im Array können Sie feststellen, warum der Standard nicht vollständig aktiviert wurde. `StandardsStatusReason` Dieses Array spezifiziert Probleme, die Security Hub CSPM daran gehindert haben, den Standard zu aktivieren. Wenn ein interner Fehler aufgetreten ist, versuchen Sie erneut, den Standard für das Konto zu aktivieren. Bei anderen Problemen [überprüfen Sie Ihre AWS Config Einstellungen](securityhub-setup-prereqs.md). Sie können auch [einzelne Steuerelemente deaktivieren](disable-controls-overview.md), die Sie nicht überprüfen möchten, oder den Standard vollständig deaktivieren.

**DELETING**  
Security Hub CSPM bearbeitet derzeit eine Anfrage zur Deaktivierung des Standards für das Konto. Dazu gehören die Deaktivierung der Kontrollen, die für den Standard gelten, und das Entfernen der zugehörigen Sicherheitsbewertung. Es kann mehrere Minuten dauern, bis Security Hub CSPM die Bearbeitung der Anfrage abgeschlossen hat.  
Wenn ein Standard diesen Status hat, können Sie den Standard nicht erneut aktivieren oder erneut versuchen, ihn für das Konto zu deaktivieren. Security Hub CSPM muss zuerst die Bearbeitung der aktuellen Anfrage abschließen. Darüber hinaus können Sie die Details einzelner Kontrollen, die für den Standard gelten, nicht abrufen oder die Kontrollen verwalten.

**FAILED**  
Security Hub CSPM konnte den Standard für das Konto nicht deaktivieren. Ein oder mehrere Fehler traten auf, als Security Hub CSPM versuchte, den Standard zu deaktivieren. Darüber hinaus kann Security Hub CSPM keine Sicherheitsbewertung für den Standard berechnen.  
Anhand der Informationen im Array können Sie feststellen, warum der Standard nicht vollständig deaktiviert wurde. `StandardsStatusReason` Dieses Array spezifiziert Probleme, die Security Hub CSPM daran gehindert haben, den Standard zu deaktivieren.  
Wenn ein Standard diesen Status hat, können Sie die Details einzelner Kontrollen, die für den Standard gelten, nicht abrufen oder die Kontrollen verwalten. Sie können den Standard jedoch für das Konto wieder aktivieren. Wenn Sie die Probleme beheben, die Security Hub CSPM daran gehindert haben, den Standard zu deaktivieren, können Sie auch erneut versuchen, den Standard zu deaktivieren.

Wenn der Status eines Standards lautet`READY`, führt Security Hub CSPM Sicherheitsprüfungen durch und generiert Ergebnisse für alle Kontrollen, die für den Standard gelten und derzeit aktiviert sind. Bei anderen Status führt Security Hub CSPM möglicherweise Prüfungen durch und generiert Ergebnisse für einige, aber nicht alle aktivierten Kontrollen. Es kann bis zu 24 Stunden dauern, bis die Kontrollergebnisse generiert oder aktualisiert werden. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

# Überprüfung der Einzelheiten eines Sicherheitsstandards
<a name="securityhub-standards-view-controls"></a>

Nachdem Sie einen Sicherheitsstandard in AWS Security Hub CSPM aktiviert haben, können Sie die Konsole verwenden, um die Details des Standards zu überprüfen. Auf der Konsole enthält die Detailseite für einen Standard die folgenden Informationen:
+ Die aktuelle Sicherheitsbewertung für den Standard.
+ Eine Tabelle mit Kontrollen, die für den Standard gelten.
+ Aggregierte Statistiken für Kontrollen, die für den Standard gelten.
+ Eine visuelle Zusammenfassung des Status der Kontrollen, die für den Standard gelten.
+ Eine visuelle Zusammenfassung der Sicherheitsprüfungen für Kontrollen, die aktiviert sind und dem Standard entsprechen. Bei der Integration mit gelten Steuerelemente AWS Organizations, die in mindestens einem Organisationskonto aktiviert sind, als aktiviert.

Um diese Details zu überprüfen, wählen Sie im Navigationsbereich der Konsole **Sicherheitsstandards** aus. Wählen Sie dann im Abschnitt für den Standard die Option **Ergebnisse anzeigen** aus. Für eine eingehendere Analyse können Sie die Daten filtern und sortieren und sich die Details der einzelnen Kontrollen ansehen, die für den Standard gelten.

**Topics**
+ [

## Grundlegendes zur Standard-Sicherheitsbewertung
](#standard-details-overview)
+ [

## Überprüfung der Kontrollen im Hinblick auf einen Standard
](#standard-controls-list)

## Grundlegendes zur Standard-Sicherheitsbewertung
<a name="standard-details-overview"></a>

Auf der AWS Security Hub CSPM-Konsole wird auf der Detailseite für einen Standard die Sicherheitsbewertung für den Standard angezeigt. Die Bewertung ist der Prozentsatz der Kontrollen, die die Bewertung bestanden haben, im Verhältnis zur Gesamtzahl der Kontrollen, die für den Standard gelten, aktiviert sind und über Bewertungsdaten verfügen. Unter der Punktzahl befindet sich ein Diagramm, das die Sicherheitsüberprüfungen für Kontrollen zusammenfasst, die für den Standard aktiviert sind. Dies beinhaltet die Anzahl der bestandenen und fehlgeschlagenen Sicherheitsprüfungen. Bei Administratorkonten werden die Standardpunktzahl und das Diagramm für das Administratorkonto und alle Mitgliedskonten zusammengefasst. Um fehlgeschlagene Sicherheitsüberprüfungen auf Kontrollen mit einem bestimmten Schweregrad zu überprüfen, wählen Sie den Schweregrad aus.

Wenn Sie einen Standard aktivieren, generiert Security Hub CSPM eine vorläufige Sicherheitsbewertung für den Standard, in der Regel innerhalb von 30 Minuten nach Ihrem ersten Besuch der **Übersichtsseite** oder der Seite **Sicherheitsstandards auf der Security** Hub CSPM-Konsole. Bewertungen werden nur für Standards generiert, die aktiviert sind, wenn Sie diese Seiten besuchen. Darüber hinaus muss die AWS Config Ressourcenaufzeichnung konfiguriert werden, damit die Ergebnisse angezeigt werden. In den Regionen China und kann es bis zu 24 Stunden dauern AWS GovCloud (US) Regions, bis Security Hub CSPM eine vorläufige Bewertung generiert. Nachdem Security Hub CSPM eine vorläufige Bewertung für einen Standard generiert hat, wird die Bewertung alle 24 Stunden aktualisiert. Weitere Informationen finden Sie unter [Berechnung von Sicherheitswerten](standards-security-score.md).

Alle Daten auf den Detailseiten zu **Sicherheitsstandards** beziehen sich auf den aktuellen Stand, AWS-Region sofern Sie keine Aggregationsregion festlegen. Wenn Sie eine Aggregationsregion festlegen, gelten die Sicherheitsbewertungen für alle Regionen und beinhalten Ergebnisse für alle verknüpften Regionen. Darüber hinaus spiegelt der Konformitätsstatus der Kontrollen Ergebnisse aus verknüpften Regionen wider, und die Anzahl der Sicherheitsprüfungen umfasst Ergebnisse aus verknüpften Regionen.

## Überprüfung der Kontrollen im Hinblick auf einen Standard
<a name="standard-controls-list"></a>

Wenn Sie die AWS Security Hub CSPM-Konsole verwenden, um die Details eines Standards zu überprüfen, den Sie aktiviert haben, können Sie eine Tabelle mit Sicherheitskontrollen überprüfen, die für den Standard gelten. Für jedes Steuerelement enthält die Tabelle die folgenden Informationen:
+ Die Kontroll-ID und der Titel.
+ Der Status des Steuerelements. Weitere Informationen finden Sie unter [Bewertung des Konformitätsstatus und des Kontrollstatus](controls-overall-status.md).
+ Der Schweregrad, der der Kontrolle zugewiesen wurde.
+ Die Anzahl der fehlgeschlagenen Prüfungen und die Gesamtzahl der Prüfungen. Falls zutreffend, gibt das Feld **Fehlgeschlagene Prüfungen** auch die Anzahl der Ergebnisse mit dem Status **Unbekannt** an.
+ Ob das Steuerelement benutzerdefinierte Parameter unterstützt. Weitere Informationen finden Sie unter [Grundlegendes zu den Steuerungsparametern in Security Hub CSPM](custom-control-parameters.md).

Security Hub CSPM-Updates kontrollieren den Status und die Anzahl der Sicherheitschecks alle 24 Stunden. Ein Zeitstempel oben auf der Seite gibt an, wann Security Hub CSPM diese Daten zuletzt aktualisiert hat.

Bei Administratorkonten werden der Kontrollstatus und die Anzahl der Sicherheitsüberprüfungen für das Administratorkonto und alle Mitgliedskonten zusammengefasst. Die Anzahl der aktivierten Kontrollen umfasst Kontrollen, die standardmäßig im Administratorkonto oder in mindestens einem Mitgliedskonto aktiviert sind. Die Anzahl der deaktivierten Steuerelemente umfasst Steuerelemente, die standardmäßig im Administratorkonto und in allen Mitgliedskonten deaktiviert sind.

Sie können die Tabelle der Steuerelemente filtern, die für den Standard gelten. Mithilfe der Optionen „**Nach filtern**“ neben der Tabelle können Sie wählen, ob nur aktivierte oder nur deaktivierte Steuerelemente für den Standard angezeigt werden sollen. Wenn Sie nur aktivierte Steuerelemente anzeigen, können Sie die Tabelle weiter nach dem Status der Steuerelemente filtern. Sie können sich dann auf Steuerelemente konzentrieren, die einen bestimmten Kontrollstatus haben. Zusätzlich zu den Optionen **Filtern nach** können Sie Filterkriterien in das Feld **Steuerelemente filtern** eingeben. Sie können beispielsweise nach der Kontroll-ID oder dem Titel filtern.

Wählen Sie Ihre bevorzugte Zugriffsmethode. Folgen Sie dann den Schritten, um die Kontrollen zu überprüfen, die für einen von Ihnen aktivierten Standard gelten.

------
#### [ Security Hub CSPM console ]

**Um die Steuerelemente für einen aktivierten Standard zu überprüfen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich **Sicherheitsstandards** aus.

1. Wählen Sie im Abschnitt für den Standard die Option **Ergebnisse anzeigen** aus.

In der Tabelle unten auf der Seite sind alle Steuerelemente aufgeführt, die für den Standard gelten. Sie können die Tabelle filtern und sortieren. Sie können die aktuelle Seite der Tabelle auch als CSV-Datei herunterladen. Wählen Sie dazu oberhalb der Tabelle die Option **Herunterladen** aus. Wenn Sie die Tabelle filtern, enthält die heruntergeladene Datei nur die Steuerelemente, die Ihren aktuellen Filtereinstellungen entsprechen.

------
#### [ Security Hub CSPM API ]

**Um die Steuerelemente für einen aktivierten Standard zu überprüfen**

1. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)Betrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den [list-security-control-definitions](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)Befehl aus.

   Geben Sie den Amazon-Ressourcennamen (ARN) des Standards an, für den Sie die Kontrollen überprüfen möchten. Um nach Standards zu ARNs suchen, verwenden Sie den [DescribeStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)Vorgang oder führen Sie den Befehl [describe-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html) aus. Wenn Sie den ARN für einen Standard nicht angeben, gibt Security Hub CSPM die gesamte Sicherheitskontrolle zurück. IDs

1. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)Betrieb der Security Hub CSPM-API oder führen Sie den [list-standards-control-associations](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)Befehl aus. Dieser Vorgang gibt an, in welchen Standards ein Steuerelement aktiviert ist.

   Identifizieren Sie das Steuerelement, indem Sie die Sicherheitskontroll-ID oder den ARN angeben. Paginierungsparameter sind optional.

Das folgende Beispiel zeigt Ihnen, in welchen Standards das Config.1-Steuerelement aktiviert ist.

```
$ aws securityhub list-standards-control-associations --region us-east-1 --security-control-id Config.1
```

------

# Durch das Ausschalten automatisch aktivierter Sicherheitsstandards
<a name="securityhub-auto-enabled-standards"></a>

Wenn Ihre Organisation keine zentrale Konfiguration verwendet, verwendet sie einen Konfigurationstyp, der als *lokale* Konfiguration bezeichnet wird. Mit der lokalen Konfiguration kann AWS Security Hub CSPM automatisch Standardsicherheitsstandards für neue Mitgliedskonten aktivieren, wenn die Konten Ihrer Organisation beitreten. Alle Kontrollen, die für diese Standardstandards gelten, werden ebenfalls automatisch aktiviert.

Derzeit sind die Standardsicherheitsstandards der Standard AWS Foundational Security Best Practices und der Benchmark v1.2.0-Standard der Center for Internet Security (CIS) AWS Foundations. Informationen zu diesen Standards finden Sie im. [Standardreferenz für Security Hub CSPM](standards-reference.md)

Wenn Sie Sicherheitsstandards für neue Mitgliedskonten lieber manuell aktivieren möchten, können Sie die automatische Aktivierung der Standardstandards deaktivieren. Dies ist nur möglich, wenn Sie die lokale Konfiguration integrieren AWS Organizations und diese verwenden. Wenn Sie die zentrale Konfiguration verwenden, können Sie stattdessen eine Konfigurationsrichtlinie erstellen, die die Standardstandards aktiviert, und die Richtlinie dem Stammverzeichnis zuordnen. Alle Ihre Unternehmenskonten und erben OUs dann diese Konfigurationsrichtlinie, sofern sie nicht mit einer anderen Richtlinie verknüpft sind oder selbst verwaltet werden. Wenn Sie nicht integrieren AWS Organizations, können Sie einen Standardstandard deaktivieren, wenn Sie Security Hub CSPM zum ersten Mal oder später aktivieren. Um zu erfahren wie dies geht, vgl. [Deaktivierung eines Standards](disable-standards.md).

Um die automatische Aktivierung der Standardstandards für neue Mitgliedskonten zu deaktivieren, können Sie die Security Hub CSPM-Konsole oder die Security Hub CSPM-API verwenden.

------
#### [ Security Hub CSPM console ]

Gehen Sie wie folgt vor, um die automatische Aktivierung der Standardstandards mithilfe der Security Hub CSPM-Konsole zu deaktivieren.

**Um die automatische Aktivierung von Standardstandards zu deaktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des Administratorkontos an.

1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Konfiguration** aus.

1. Wählen Sie im Abschnitt **Übersicht** die Option **Bearbeiten** aus.

1. Deaktivieren Sie unter **Neue Kontoeinstellungen** das Kontrollkästchen **Standardsicherheitsstandards** aktivieren.

1. Wählen Sie **Bestätigen** aus.

------
#### [ Security Hub CSPM API ]

Um die automatische Aktivierung der Standardstandards programmgesteuert zu deaktivieren, verwenden Sie vom Security Hub CSPM-Administratorkonto aus den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)Betrieb der Security Hub CSPM-API. Geben Sie in Ihrer Anfrage den Parameter an. `NONE` `AutoEnableStandards` 

Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)Befehl aus, um die automatische Aktivierung der Standardstandards zu deaktivieren. Geben Sie für den Parameter `auto-enable-standards` `NONE` an: Der folgende Befehl aktiviert beispielsweise automatisch Security Hub CSPM für neue Mitgliedskonten und deaktiviert die automatische Aktivierung der Standardstandards für die Konten.

```
$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE
```

------

# Deaktivierung eines Sicherheitsstandards
<a name="disable-standards"></a>

Wenn Sie einen Sicherheitsstandard in AWS Security Hub CSPM deaktivieren, passiert Folgendes:
+ Alle Steuerelemente, die für den Standard gelten, sind deaktiviert, sofern sie nicht mit einem anderen Standard verknüpft sind, der derzeit aktiviert ist.
+ Sicherheitsprüfungen für die deaktivierten Steuerelemente werden nicht mehr durchgeführt, und es werden keine weiteren Ergebnisse für die deaktivierten Steuerelemente generiert.
+ Bestehende Ergebnisse für die deaktivierten Kontrollen werden nach etwa 3-5 Tagen automatisch archiviert.
+ AWS Config Regeln, die Security Hub CSPM für die deaktivierten Steuerelemente erstellt hat, werden gelöscht.

Das Löschen der entsprechenden AWS Config Regeln erfolgt in der Regel innerhalb weniger Minuten nach der Deaktivierung eines Standards. Es kann jedoch länger dauern. Wenn die erste Anfrage die Regeln nicht löscht, versucht Security Hub CSPM alle 12 Stunden erneut. Wenn Sie Security Hub CSPM jedoch deaktiviert haben oder keine anderen Standards aktiviert haben, kann Security Hub CSPM es nicht erneut versuchen, was bedeutet, dass die Regeln nicht gelöscht werden können. Wenn dies der Fall ist und Sie die Regeln löschen müssen, wenden Sie sich an. AWS Support

**Topics**
+ [

## Deaktivierung eines Standards in mehreren Konten und AWS-Regionen
](#disable-standards-central-configuration)
+ [

## Deaktivierung eines Standards in einem einzelnen Konto und AWS-Region
](#securityhub-standard-disable-console)

## Deaktivierung eines Standards in mehreren Konten und AWS-Regionen
<a name="disable-standards-central-configuration"></a>

Verwenden Sie die [zentrale Konfiguration AWS-Regionen](central-configuration-intro.md), um einen Sicherheitsstandard für mehrere Konten und zu deaktivieren. Bei der zentralen Konfiguration kann der delegierte Security Hub CSPM-Administrator Security Hub CSPM-Konfigurationsrichtlinien erstellen, die einen oder mehrere Standards deaktivieren. Der Administrator kann dann einzelnen Konten, Organisationseinheiten (OUs) oder dem Stammkonto eine Konfigurationsrichtlinie zuordnen. Eine Konfigurationsrichtlinie wirkt sich auf die Heimatregion, die auch als *Aggregationsregion* bezeichnet wird, und auf alle verknüpften Regionen aus.

Konfigurationsrichtlinien bieten Anpassungsoptionen. Sie könnten sich beispielsweise dafür entscheiden, den Payment Card Industry Data Security Standard (PCI DSS) in einer Organisationseinheit zu deaktivieren. Für eine andere Organisationseinheit könnten Sie sich dafür entscheiden, sowohl den PCI DSS als auch den Standard SP 800-53 Rev. 5 des National Institute of Standards and Technology (NIST) zu deaktivieren. Informationen zum Erstellen einer Konfigurationsrichtlinie, mit der einzelne von Ihnen angegebene Standards aktiviert oder deaktiviert werden, finden Sie unter. [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md)

**Anmerkung**  
Der Security Hub CSPM-Administrator kann mithilfe von Konfigurationsrichtlinien jeden Standard außer dem vom [AWS Control Tower Service](service-managed-standard-aws-control-tower.md) verwalteten Standard deaktivieren. Um diesen Standard zu deaktivieren, muss der Administrator ihn direkt verwenden. AWS Control Tower Sie müssen außerdem einzelne Steuerungen in diesem Standard für ein zentral verwaltetes Konto verwenden, AWS Control Tower um sie zu deaktivieren oder zu aktivieren.

*Wenn Sie möchten, dass einige Konten Standards für ihre eigenen Konten konfigurieren oder deaktivieren, kann der Security Hub CSPM-Administrator diese Konten als selbstverwaltete Konten kennzeichnen.* Selbstverwaltete Konten müssen die Standards in jeder Region separat deaktivieren.

## Deaktivierung eines Standards in einem einzelnen Konto und AWS-Region
<a name="securityhub-standard-disable-console"></a>

Wenn Sie keine zentrale Konfiguration verwenden oder über ein selbstverwaltetes Konto verfügen, können Sie keine Konfigurationsrichtlinien verwenden, um Sicherheitsstandards in mehreren Konten zentral zu deaktivieren oder. AWS-Regionen Sie können jedoch einen Standard für ein einzelnes Konto und eine Region deaktivieren. Sie können dies mithilfe der Security Hub CSPM-Konsole oder der Security Hub CSPM-API tun. 

------
#### [ Security Hub CSPM console ]

Gehen Sie wie folgt vor, um einen Standard in einem Konto und einer Region mithilfe der Security Hub CSPM-Konsole zu deaktivieren.

**Um einen Standard in einem Konto und einer Region zu deaktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie den Standard deaktivieren möchten.

1. **Wählen Sie im Navigationsbereich die Option Sicherheitsstandards aus.**

1. Wählen Sie im Abschnitt für den Standard, den Sie deaktivieren möchten, die Option **Standard deaktivieren** aus.

Um den Standard in weiteren Regionen zu deaktivieren, wiederholen Sie die vorherigen Schritte in jeder weiteren Region.

------
#### [ Security Hub CSPM API ]

Verwenden Sie den Vorgang, um einen Standard programmgesteuert in einem einzelnen Konto und einer Region zu deaktivieren. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html) Oder, wenn Sie die AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html)Befehl aus.

Verwenden Sie in Ihrer Anfrage den `StandardsSubscriptionArns` Parameter, um den Amazon-Ressourcennamen (ARN) des Standards anzugeben, den Sie deaktivieren möchten. Wenn Sie den verwenden AWS CLI, verwenden Sie den `standards-subscription-arns` Parameter, um den ARN anzugeben. Geben Sie auch die Region an, für die sich Ihre Anfrage bezieht. Der folgende Befehl deaktiviert beispielsweise den FSBP-Standard ( AWS Foundational Security Best Practices) für ein Konto (): *123456789012*

```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```

Wo *arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0* ist der ARN des FSBP-Standards für das Konto in der Region USA Ost (Nord-Virginia), und *us-east-1* ist die Region, in der es deaktiviert werden soll.

Um den ARN für einen Standard zu erhalten, können Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)Operation verwenden. Bei diesem Vorgang werden Informationen zu den Standards abgerufen, die derzeit in Ihrem Konto aktiviert sind. Wenn Sie den verwenden AWS CLI, können Sie den [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)Befehl ausführen, um diese Informationen abzurufen.

------

Nachdem Sie einen Standard deaktiviert haben, beginnt Security Hub CSPM mit der Ausführung von Aufgaben zur Deaktivierung des Standards im Konto und in der angegebenen Region. Dies beinhaltet die Deaktivierung aller Kontrollen, die für den Standard gelten. Um den Status dieser Aufgaben zu überwachen, können Sie [den Status des Standards für das](enable-standards.md#standard-subscription-status) Konto und die Region überprüfen.

# Grundlegendes zu den Sicherheitskontrollen in Security Hub CSPM
<a name="controls-view-manage"></a>

In AWS Security Hub CSPM ist eine *Sicherheitskontrolle*, auch als *Kontrolle* bezeichnet, eine Schutzmaßnahme innerhalb eines Sicherheitsstandards, die einem Unternehmen hilft, die Vertraulichkeit, Integrität und Verfügbarkeit seiner Informationen zu schützen. In Security Hub CSPM bezieht sich ein Steuerelement auf eine bestimmte AWS Ressource.

Wenn Sie ein Steuerelement in einem oder mehreren Standards aktivieren, beginnt Security Hub CSPM mit der Durchführung von Sicherheitsüberprüfungen. Die Sicherheitsüberprüfungen führen zu Ergebnissen des Security Hub CSPM. Wenn Sie ein Steuerelement deaktivieren, beendet Security Hub CSPM die Ausführung von Sicherheitsüberprüfungen und es werden keine Ergebnisse mehr generiert.

Sie können Kontrollen einzeln für ein einzelnes Konto aktivieren oder deaktivieren und. AWS-Region Um Zeit zu sparen und Konfigurationsabweichungen in Umgebungen mit mehreren Konten zu reduzieren, empfehlen wir, die Steuerung über eine [zentrale Konfiguration](central-configuration-intro.md) zu aktivieren oder zu deaktivieren. Bei der zentralen Konfiguration kann der delegierte Security Hub CSPM-Administrator Richtlinien erstellen, die festlegen, wie eine Steuerung für mehrere Konten und Regionen konfiguriert werden soll. Weitere Informationen zum Aktivieren und Deaktivieren von Steuerungen finden Sie unter. [Steuerelemente in Security Hub CSPM aktivieren](securityhub-standards-enable-disable-controls.md)

## Ansicht „Konsolidierte Kontrollen“
<a name="consolidated-controls-view"></a>

Auf der Seite „**Steuerungen**“ der Security Hub CSPM-Konsole werden alle derzeit verfügbaren Kontrollen angezeigt AWS-Region (Sie können Kontrollen im Kontext eines Standards anzeigen, indem Sie die Seite **Sicherheitsstandards** aufrufen und einen aktivierten Standard auswählen). Security Hub CSPM weist Kontrollen standardübergreifend eine einheitliche Sicherheitssteuerungs-ID, einen Titel und eine Beschreibung zu. Zu den Kontrollen IDs gehören die relevante AWS-Service und eine eindeutige Nummer (z. B. CodeBuild .3).

Die folgenden Informationen sind auf der **Kontrollseite** der [Security Hub CSPM-Konsole](https://console.aws.amazon.com/securityhub/) verfügbar:
+ Eine allgemeine Sicherheitsbewertung, die auf dem Anteil der bestandenen Kontrollen im Vergleich zur Gesamtzahl der aktivierten Kontrollen mit Daten basiert
+ Aufschlüsselung der Kontrollstatus aller unterstützten Security Hub CSPM-Steuerungen
+ Die Gesamtzahl der bestandenen und fehlgeschlagenen Sicherheitschecks.
+ Die Anzahl der fehlgeschlagenen Sicherheitsüberprüfungen für Kontrollen mit unterschiedlichem Schweregrad sowie Links zu weiteren Informationen zu diesen fehlgeschlagenen Prüfungen.
+ Eine Liste von Security Hub CSPM-Steuerelementen mit Filtern zur Anzeige bestimmter Untergruppen von Kontrollen.

Auf der Seite „**Kontrollen**“ können Sie ein Steuerelement auswählen, um dessen Details einzusehen und aufgrund der von der Kontrolle generierten Ergebnisse Maßnahmen zu ergreifen. Auf dieser Seite können Sie auch eine Sicherheitskontrolle in Ihrem aktuellen AWS-Konto und aktivieren oder deaktivieren AWS-Region. Die Aktivierungs- und Deaktivierungsaktionen auf der Seite „**Kontrollen**“ gelten für alle Standards. Weitere Informationen finden Sie unter [Steuerelemente in Security Hub CSPM aktivieren](securityhub-standards-enable-disable-controls.md).

Bei Administratorkonten gibt die Seite „**Kontrollen**“ den Status der Kontrollen für alle Mitgliedskonten wieder. Wenn eine Kontrollüberprüfung in mindestens einem Mitgliedskonto fehlschlägt, lautet der Kontrollstatus **Fehlgeschlagen**. Wenn Sie eine [Aggregationsregion](finding-aggregation.md) festgelegt haben, zeigt die Seite „**Steuerelemente**“ den Status der Kontrollen in allen verknüpften Regionen an. Wenn eine Kontrollprüfung in mindestens einer verknüpften Region fehlschlägt, lautet der Kontrollstatus **Fehlgeschlagen**.

Die Ansicht „Konsolidierte Kontrollen“ führt zu Änderungen an den Kontrollsuchfeldern im AWS Security Finding Format (ASFF), die sich auf Workflows auswirken können. Weitere Informationen finden Sie unter [Ansicht konsolidierter Kontrollen — ASFF-Änderungen](asff-changes-consolidation.md#securityhub-findings-format-consolidated-controls-view).

## Zusammenfassung der Sicherheitsbewertung für Kontrollen
<a name="controls-overall-score"></a>

Auf der Seite „**Kontrollen**“ wird eine Zusammenfassung der Sicherheitsbewertung zwischen 0 und 100 Prozent angezeigt. Die zusammenfassende Sicherheitsbewertung wird auf der Grundlage des Anteils der bestandenen Kontrollen im Vergleich zur Gesamtzahl der aktivierten Kontrollen mit standardübergreifenden Daten berechnet.

**Anmerkung**  
 Um die Gesamtsicherheitsbewertung für Kontrollen anzuzeigen, müssen Sie der IAM-Rolle, die Sie für den **`BatchGetControlEvaluations`**Zugriff auf Security Hub CSPM verwenden, die Berechtigung zum Aufrufen hinzufügen. Diese Berechtigung ist nicht erforderlich, um Sicherheitsbewertungen für bestimmte Standards einzusehen. 

Wenn Sie Security Hub CSPM aktivieren, berechnet Security Hub CSPM die anfängliche Sicherheitsbewertung innerhalb von 30 Minuten nach Ihrem ersten Besuch der **Übersichtsseite** oder der Seite **Sicherheitsstandards auf der Security** Hub CSPM-Konsole. In den China Regionen und kann es bis zu 24 Stunden dauern, bis zum ersten Mal Sicherheitsbewertungen generiert werden. AWS GovCloud (US) Regions

Zusätzlich zur Gesamtsicherheitsbewertung berechnet Security Hub CSPM innerhalb von 30 Minuten nach Ihrem ersten Besuch der **Übersichtsseite** oder der Seite Sicherheitsstandards eine **Standardsicherheitsbewertung** für jeden aktivierten Standard. Verwenden Sie die API-Operation, um eine Liste der derzeit aktivierten Standards anzuzeigen. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)

AWS Config Damit die Ergebnisse angezeigt werden, muss die Ressourcenaufzeichnung aktiviert sein. Informationen darüber, wie Security Hub CSPM Sicherheitsbewertungen berechnet, finden Sie unter. [Berechnung von Sicherheitswerten](standards-security-score.md)

Nach der erstmaligen Score-Generierung aktualisiert Security Hub CSPM die Sicherheitswerte alle 24 Stunden. Security Hub CSPM zeigt einen Zeitstempel an, der angibt, wann eine Sicherheitsbewertung zuletzt aktualisiert wurde.

Wenn Sie eine Aggregationsregion festgelegt haben, spiegelt die Gesamtsicherheitsbewertung die Kontrollergebnisse der verknüpften Regionen wider.

# Kontrollreferenz für Security Hub CSPM
<a name="securityhub-controls-reference"></a>

Diese Kontrollreferenz enthält eine Tabelle der verfügbaren AWS Security Hub CSPM-Steuerelemente mit Links zu weiteren Informationen zu den einzelnen Steuerelementen. In der Tabelle sind die Kontrollen in alphabetischer Reihenfolge nach der Kontroll-ID aufgeführt. Nur Steuerelemente, die von Security Hub CSPM aktiv verwendet werden, sind hier enthalten. Steuerelemente, die nicht mehr verwendet wurden, sind in der Tabelle nicht enthalten.

Die Tabelle enthält die folgenden Informationen für jedes Steuerelement:
+ **ID der Sicherheitskontrolle** — Diese ID gilt für alle Standards und gibt die AWS-Service Ressource an, auf die sich die Kontrolle bezieht. Die Security Hub CSPM-Konsole zeigt die Sicherheitskontrolle an IDs, unabhängig davon, ob die [konsolidierten Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings) in Ihrem Konto aktiviert oder deaktiviert sind. Die CSPM-Ergebnisse von Security Hub beziehen sich jedoch IDs nur dann auf die Sicherheitskontrolle, wenn konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert sind. Wenn die Option „Konsolidierte Kontrollfeststellungen“ in Ihrem Konto deaktiviert ist, IDs variieren einige Kontrollen je nach Standard in Ihren Kontrollergebnissen. Eine Zuordnung zwischen standardspezifischer Kontrolle und Sicherheitskontrolle IDs finden Sie IDs unter. [Wie sich die Konsolidierung auf Kontrolle und Titel auswirkt IDs](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)

  Wenn Sie [Automatisierungen](automations.md) für Sicherheitskontrollen einrichten möchten, empfehlen wir, anhand der Kontroll-ID und nicht anhand des Titels oder der Beschreibung zu filtern. Security Hub CSPM kann zwar gelegentlich Titel oder Beschreibungen von Steuerelementen aktualisieren, die Steuerung IDs bleibt jedoch dieselbe.

  Bei der Steuerung IDs können Zahlen übersprungen werden. Dies sind Platzhalter für future Kontrollen.
+ **Titel der Sicherheitskontrolle** — Dieser Titel gilt für alle Standards. Die Security Hub CSPM-Konsole zeigt Titel für Sicherheitskontrollen an, unabhängig davon, ob konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert oder deaktiviert sind. Die CSPM-Ergebnisse von Security Hub verweisen jedoch nur dann auf Titel der Sicherheitskontrolle, wenn konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert sind. Wenn die Option „Konsolidierte Kontrollbefunde“ in Ihrem Konto deaktiviert ist, variieren einige Kontrolltitel je nach Standard in Ihren Kontrollergebnissen. Eine Zuordnung zwischen standardspezifischer Kontrolle und Sicherheitskontrolle IDs finden Sie IDs unter. [Wie sich die Konsolidierung auf Kontrolle und Titel auswirkt IDs](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
+ **Anwendbare Standards** — Gibt an, für welche Standards eine Kontrolle gilt. Wählen Sie eine Kontrolle aus, um bestimmte Anforderungen aus Compliance-Frameworks von Drittanbietern zu überprüfen.
+ **Schweregrad** — Der Schweregrad einer Kontrolle gibt an, wie wichtig sie aus Sicherheitsgründen ist. Informationen darüber, wie Security Hub CSPM den Schweregrad der Kontrolle bestimmt, finden Sie unter. [Schweregrade der Kontrollbefunde](controls-findings-create-update.md#control-findings-severity)
+ **Unterstützt benutzerdefinierte Parameter** — Gibt an, ob das Steuerelement benutzerdefinierte Werte für einen oder mehrere Parameter unterstützt. Wählen Sie ein Steuerelement aus, um die Parameterdetails zu überprüfen. Weitere Informationen finden Sie unter [Grundlegendes zu den Steuerungsparametern in Security Hub CSPM](custom-control-parameters.md).
+ **Zeitplantyp** — Gibt an, wann die Kontrolle ausgewertet wird. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

Wählen Sie ein Steuerelement aus, um weitere Details zu überprüfen. Die Kontrollen werden in alphabetischer Reihenfolge nach der Sicherheitskontroll-ID aufgelistet.


| ID der Sicherheitskontrolle | Titel der Sicherheitskontrolle | Anwendbare Normen | Schweregrad | Unterstützt benutzerdefinierte Parameter | Art des Zeitplans | 
| --- | --- | --- | --- | --- | --- | 
| [Account.1](account-controls.md#account-1)  | Sicherheitskontaktinformationen sollten für eine bereitgestellt werden AWS-Konto  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5  | MITTEL  | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  | Regelmäßig  | 
|  [Konto.2](account-controls.md#account-2)  |  AWS-Konto sollte Teil einer Organisation sein AWS Organizations  |  NIST SP 800-53 Rev. 5  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [ACM.1](acm-controls.md#acm-1)  |  Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst und periodisch  | 
|  [ACM.2](acm-controls.md#acm-2)  |  Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden  | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ACM.3](acm-controls.md#acm-3)  | ACM-Zertifikate sollten gekennzeichnet sein | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Verstärker.1](amplify-controls.md#amplify-1)  | Amplify-Apps sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Verstärker.2](amplify-controls.md#amplify-2)  | Amplify-Zweige sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [APIGateway1](apigateway-controls.md#apigateway-1).  |  API Gateway, REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [APIGateway2.2](apigateway-controls.md#apigateway-2)  |  API Gateway, REST-API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden.  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [APIGateway3.](apigateway-controls.md#apigateway-3)  |  Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [APIGateway4.](apigateway-controls.md#apigateway-4)  |  API Gateway sollte mit einer WAF-Web-ACL verknüpft sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [APIGateway5.](apigateway-controls.md#apigateway-5)  |  API-Gateway-REST-API-Cache-Daten sollten im Ruhezustand verschlüsselt werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [APIGateway8.](apigateway-controls.md#apigateway-8)  |  API-Gateway-Routen sollten einen Autorisierungstyp angeben  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Regelmäßig  | 
|  [APIGateway9.](apigateway-controls.md#apigateway-9)  |  Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [APIGateway1.0](apigateway-controls.md#apigateway-10)  |  API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [AppConfig1](appconfig-controls.md#appconfig-1).  | AWS AppConfig Anwendungen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [AppConfig2.2](appconfig-controls.md#appconfig-2)  | AWS AppConfig Konfigurationsprofile sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [AppConfig3.](appconfig-controls.md#appconfig-3)  | AWS AppConfig Umgebungen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [AppConfig4.](appconfig-controls.md#appconfig-4)  | AWS AppConfig Erweiterungszuordnungen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [AppFlow1](appflow-controls.md#appflow-1).  |  AppFlow Amazon-Datenflüsse sollten gekennzeichnet werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [AppRunner1](apprunner-controls.md#apprunner-1).  | App Runner-Dienste sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [AppRunner2.2](apprunner-controls.md#apprunner-2)  | App Runner VPC-Konnektoren sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [AppSync2.2](appsync-controls.md#appsync-2)  |  AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [AppSync4.](appsync-controls.md#appsync-4)  | AWS AppSync GraphQL APIs sollte markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [AppSync5.](appsync-controls.md#appsync-5)  |  AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Athena.2](athena-controls.md#athena-2)  | Athena-Datenkataloge sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Athena.3](athena-controls.md#athena-3)  | Athena-Arbeitsgruppen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Athena.4](athena-controls.md#athena-4)  | Athena Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [AutoScaling1](autoscaling-controls.md#autoscaling-1).  | Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | NIEDRIG | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [AutoScaling2.2](autoscaling-controls.md#autoscaling-2)  |  Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [AutoScaling3.](autoscaling-controls.md#autoscaling-3)  |  Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2-Instances so konfigurieren, dass sie Instance Metadata Service Version 2 () IMDSv2 benötigen  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [AutoScaling.5](autoscaling-controls.md#autoscaling-5)  |  Amazon EC2 EC2-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [AutoScaling6.](autoscaling-controls.md#autoscaling-6)  |  Auto Scaling Scaling-Gruppen sollten mehrere Instanztypen in mehreren Availability Zones verwenden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [AutoScaling9.](autoscaling-controls.md#autoscaling-9)  |  EC2 Auto Scaling Scaling-Gruppen sollten EC2-Startvorlagen verwenden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [AutoScaling1.0](autoscaling-controls.md#autoscaling-10)  | EC2 Auto Scaling Scaling-Gruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Sicherung.1](backup-controls.md#backup-1)  |  AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Sicherung.2](backup-controls.md#backup-2)  | AWS Backup Wiederherstellungspunkte sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Sicherung.3](backup-controls.md#backup-3)  | AWS Backup Tresore sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Sicherung.4](backup-controls.md#backup-4)  | AWS Backup Berichtspläne sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Sicherung.5](backup-controls.md#backup-5)  | AWS Backup Backup-Pläne sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Charge.1](batch-controls.md#batch-1)  | Warteschlangen für Batch-Jobs sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Charge.2](batch-controls.md#batch-2)  | Richtlinien zur Batch-Planung sollten gekennzeichnet sein | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Charge.3](batch-controls.md#batch-3)  | Batch-Computing-Umgebungen sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Charge.4](batch-controls.md#batch-4)  | Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [CloudFormation2.2](cloudformation-controls.md#cloudformation-2)  | CloudFormation Stapel sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [CloudFormation3.](cloudformation-controls.md#cloudformation-3)  | CloudFormation Bei Stacks sollte der Terminierungsschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [CloudFormation4.](cloudformation-controls.md#cloudformation-4)  | CloudFormation Stacks sollten zugeordnete Servicerollen haben | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [CloudFront1](cloudfront-controls.md#cloudfront-1).  | CloudFront Bei Distributionen sollte ein Standard-Root-Objekt konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [CloudFront3.](cloudfront-controls.md#cloudfront-3)  |  CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [CloudFront4.](cloudfront-controls.md#cloudfront-4)  |  CloudFront Bei Distributionen sollte Origin Failover konfiguriert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [CloudFront5.](cloudfront-controls.md#cloudfront-5)  |  CloudFront Bei Distributionen sollte die Protokollierung aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [CloudFront6.](cloudfront-controls.md#cloudfront-6)  |  CloudFront Bei Distributionen sollte WAF aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [CloudFront7.](cloudfront-controls.md#cloudfront-7)  |  CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  | NIEDRIG |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [CloudFront8.](cloudfront-controls.md#cloudfront-8)  |  CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [CloudFront9.](cloudfront-controls.md#cloudfront-9)  |  CloudFront Distributionen sollten den Verkehr zu benutzerdefinierten Ursprüngen verschlüsseln  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [CloudFront1.0](cloudfront-controls.md#cloudfront-10)  |  CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [CloudFront1.2](cloudfront-controls.md#cloudfront-12)  |  CloudFront Verteilungen sollten nicht auf nicht existierende S3-Ursprünge verweisen  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudFront1.3](cloudfront-controls.md#cloudfront-13)  |  CloudFront Distributionen sollten Origin Access Control verwenden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [CloudFront1.4](cloudfront-controls.md#cloudfront-14)  | CloudFront Distributionen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [CloudFront1.5](cloudfront-controls.md#cloudfront-15)  | CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [CloudFront1.6](cloudfront-controls.md#cloudfront-16)  | CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [CloudFront1.7](cloudfront-controls.md#cloudfront-17)  | CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte URLs Schlüssel und Cookies verwenden | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [CloudTrail1](cloudtrail-controls.md#cloudtrail-1).  | CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [CloudTrail2.2](cloudtrail-controls.md#cloudtrail-2)  |  CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert sein  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS CIS AWS Foundations Benchmark v1.4.0 Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudTrail3.](cloudtrail-controls.md#cloudtrail-3)  | Mindestens ein CloudTrail Trail sollte aktiviert sein | NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [CloudTrail.4](cloudtrail-controls.md#cloudtrail-4)  |  CloudTrail Die Überprüfung der Protokolldatei sollte aktiviert sein  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 AWS  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudTrail5.](cloudtrail-controls.md#cloudtrail-5)  |  CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden  | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MITTEL |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudTrail6.](cloudtrail-controls.md#cloudtrail-6)  |  Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist  |  CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, PCI DSS v4.0.1 |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst und periodisch  | 
|  [CloudTrail7.](cloudtrail-controls.md#cloudtrail-7)  |  Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudTrail9.](cloudtrail-controls.md#cloudtrail-9)  | CloudTrail Wege sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [CloudTrail1.0](cloudtrail-controls.md#cloudtrail-10)  | CloudTrail Datenspeicher für Ereignisse in Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys | NIST SP 800-53 Rev. 5 | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Regelmäßig | 
|  [CloudWatch1](cloudwatch-controls.md#cloudwatch-1).  |  Für die Verwendung des Root-Benutzers sollten ein Log-Metrikfilter und ein Alarm vorhanden sein  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudWatch2.](cloudwatch-controls.md#cloudwatch-2)  |  Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind  | Benchmark v1.2.0 für CIS AWS Foundations, NIST SP 800-171 Rev. 2 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudWatch3.](cloudwatch-controls.md#cloudwatch-3)  |  Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für die Anmeldung in der Managementkonsole ohne MFA vorhanden sind  | Benchmark AWS v1.2.0 für CIS Foundations  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudWatch4.](cloudwatch-controls.md#cloudwatch-4)  |  Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der IAM-Richtlinie vorhanden sind  | Benchmark für AWS GIS-Stiftungen v1.4.0, Benchmark für AWS GIS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudWatch5.](cloudwatch-controls.md#cloudwatch-5)  |  Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudWatch6.](cloudwatch-controls.md#cloudwatch-6)  |  Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudWatch7.](cloudwatch-controls.md#cloudwatch-7)  |  Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind, um vom Kunden erstellte Dateien zu deaktivieren oder zu löschen CMKs  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudWatch8.](cloudwatch-controls.md#cloudwatch-8)  |  Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind  | Benchmark für AWS GIS-Stiftungen v1.4.0, Benchmark für AWS GIS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudWatch9.](cloudwatch-controls.md#cloudwatch-9)  |  Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudWatch1,0](cloudwatch-controls.md#cloudwatch-10)  |  Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Sicherheitsgruppe vorhanden sind  | Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudWatch.11](cloudwatch-controls.md#cloudwatch-11)  |  Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind  | Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudWatch1.2](cloudwatch-controls.md#cloudwatch-12)  |  Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an Network-Gateways vorhanden sind  | Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudWatch1,3](cloudwatch-controls.md#cloudwatch-13)  |  Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Routing-Tabelle vorhanden sind  | Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudWatch.14](cloudwatch-controls.md#cloudwatch-14)  |  Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für VPC-Änderungen vorhanden sind  | Benchmark für AWS GUS-Stiftungen v1.4.0, Benchmark für AWS GUS-Stiftungen v1.2.0, NIST SP 800-171 Rev. 2 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [CloudWatch1,5](cloudwatch-controls.md#cloudwatch-15)  |  CloudWatch Für Alarme sollten bestimmte Aktionen konfiguriert sein  | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 |  HIGH (HOCH)  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [CloudWatch1.6](cloudwatch-controls.md#cloudwatch-16)  |  CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden  |  NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Regelmäßig  | 
|  [CloudWatch1,7](cloudwatch-controls.md#cloudwatch-17)  |  CloudWatch Alarmaktionen sollten aktiviert sein  |  NIST SP 800-53 Rev. 5  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [CodeArtifact1](codeartifact-controls.md#codeartifact-1).  | CodeArtifact Repositorien sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [CodeBuild1](codebuild-controls.md#codebuild-1).  | CodeBuild Das Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | KRITISCH | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [CodeBuild2.2](codebuild-controls.md#codebuild-2)  |  CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [CodeBuild3.](codebuild-controls.md#codebuild-3)  |  CodeBuild S3-Protokolle sollten verschlüsselt sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [CodeBuild4.](codebuild-controls.md#codebuild-4)  |  CodeBuild Projektumgebungen sollten über eine Protokollierungskonfiguration verfügen  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [CodeBuild7.](codebuild-controls.md#codebuild-7)  | CodeBuild Exporte von Berichtsgruppen sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [CodeGuruProfiler1](codeguruprofiler-controls.md#codeguruprofiler-1).  | CodeGuru Profiler-Profiling-Gruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [CodeGuruReviewer1](codegurureviewer-controls.md#codegurureviewer-1).  | CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Kognito. 1](cognito-controls.md#cognito-1)  | In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Kognito. 2](cognito-controls.md#cognito-2)  | Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [Kognito.3](cognito-controls.md#cognito-3)  | Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Kognito.4](cognito-controls.md#cognito-4)  | In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [Kognito. 5](cognito-controls.md#cognito-5)  | MFA sollte für Cognito-Benutzerpools aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [Kognito.6](cognito-controls.md#cognito-6)  | In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [Config.1](config-controls.md#config-1)  | AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 AWS  | KRITISCH | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Regelmäßig | 
|  [Verbinden.1](connect-controls.md#connect-1)  | Die Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Verbinden.2](connect-controls.md#connect-2)  | Amazon Connect Connect-Instances sollte die CloudWatch Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [DataFirehose1](datafirehose-controls.md#datafirehose-1).  | Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [DataSync1](datasync-controls.md#datasync-1).  | DataSync Für Aufgaben sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [DataSync2.2](datasync-controls.md#datasync-2)  | DataSync Aufgaben sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Detektiv.1](detective-controls.md#detective-1)  | Verhaltensdiagramme von Detektiven sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [DMS.1](dms-controls.md#dms-1)  |  Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [DMS.2](dms-controls.md#dms-2)  | DMS-Zertifikate sollten mit einem Tag versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [DMS.3](dms-controls.md#dms-3)  | DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [DMS.4](dms-controls.md#dms-4)  | DMS-Replikationsinstanzen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [DMS.5](dms-controls.md#dms-5)  | Subnetzgruppen für die DMS-Replikation sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [DMS.6](dms-controls.md#dms-6)  |  Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [DMS.7](dms-controls.md#dms-7)  |  Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [DMS.8](dms-controls.md#dms-8)  |  Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [DMS.9](dms-controls.md#dms-9)  |  DMS-Endpunkte sollten SSL verwenden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [DMS.10](dms-controls.md#dms-10)  | Auf DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [DMS.11](dms-controls.md#dms-11)  | Für DMS-Endpunkte für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [DMS.12](dms-controls.md#dms-12)  | Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [DMS.13](dms-controls.md#dms-13)  | DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [DocumentDB DB.1](documentdb-controls.md#documentdb-1)  |  Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [DocumentDB DB.2](documentdb-controls.md#documentdb-2)  |  Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [DocumentDB DB.3](documentdb-controls.md#documentdb-3)  |  Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [DocumentDB DB.4](documentdb-controls.md#documentdb-4)  |  Amazon DocumentDB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [DocumentDB DB.5](documentdb-controls.md#documentdb-5)  |  Für Amazon DocumentDB-Cluster sollte der Löschschutz aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [DocumentDB DB.6](documentdb-controls.md#documentdb-6)  | Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [DynamoDB.1](dynamodb-controls.md#dynamodb-1)  |  DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Regelmäßig  | 
|  [DynamoDB.2](dynamodb-controls.md#dynamodb-2)  |  DynamoDB DynamoDB-Tabellen sollte die Wiederherstellung aktiviert point-in-time sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [DynamoDB.3](dynamodb-controls.md#dynamodb-3)  |  DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [Dynamo DB.4](dynamodb-controls.md#dynamodb-4)  |  DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein  |  NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Regelmäßig  | 
|  [Dynamo DB.5](dynamodb-controls.md#dynamodb-5)  | DynamoDB-Tabellen sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Dynamo DB,6](dynamodb-controls.md#dynamodb-6)  |  DynamoDB DynamoDB-Tabellen sollte der Löschschutz aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Dynamo DB.7](dynamodb-controls.md#dynamodb-7)  | DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [EC2.1](ec2-controls.md#ec2-1)  |  EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [EC2.2](ec2-controls.md#ec2-2)  |  VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, AWS CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EC2.3](ec2-controls.md#ec2-3)  |  Angehängte EBS-Volumes sollten im Ruhezustand verschlüsselt werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EC2.4](ec2-controls.md#ec2-4)  |  Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Regelmäßig  | 
|  [EC2.6](ec2-controls.md#ec2-6)  |  Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [EC2.7](ec2-controls.md#ec2-7)  |  Die EBS-Standardverschlüsselung sollte aktiviert sein  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [EC2.8](ec2-controls.md#ec2-8)  |  EC2-Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EC2.9](ec2-controls.md#ec2-9)  |  EC2-Instances sollten keine öffentliche IPv4 Adresse haben  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EC2.10](ec2-controls.md#ec2-10)  |  Amazon EC2 sollte für die Verwendung von VPC-Endpunkten konfiguriert sein, die für den Amazon EC2-Service erstellt wurden.  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [EC2.12](ec2-controls.md#ec2-12)  |  Unbenutztes EC2 EIPs sollte entfernt werden  |  PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EC2.13](ec2-controls.md#ec2-13)  | Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Ausgelöste und periodische Änderung | 
|  [EC2,14](ec2-controls.md#ec2-14)  | Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen | Benchmark für CIS Foundations v1.2.0 AWS , PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Ausgelöste und periodische Änderung | 
|  [EC2.15](ec2-controls.md#ec2-15)  |  EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EC2.16](ec2-controls.md#ec2-16)  |  Unbenutzte Network Access Control Lists sollten entfernt werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EC2.17](ec2-controls.md#ec2-17)  |  EC2-Instances sollten nicht mehrere verwenden ENIs  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EC2.18](ec2-controls.md#ec2-18)  |  Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  HIGH (HOCH)  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [EC2.19](ec2-controls.md#ec2-19)  | Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | KRITISCH | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst und periodisch | 
|  [EC2.20](ec2-controls.md#ec2-20)  |  Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EC2.21](ec2-controls.md#ec2-21)  |  ACLs Das Netzwerk sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EC2.22](ec2-controls.md#ec2-22)  | Ungenutzte EC2-Sicherheitsgruppen sollten entfernt werden |   | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [EC2.23](ec2-controls.md#ec2-23)  |  EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EC2.24](ec2-controls.md#ec2-24)  |  Paravirtuelle EC2-Instance-Typen sollten nicht verwendet werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EC2.25](ec2-controls.md#ec2-25)  |  EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EC2.28](ec2-controls.md#ec2-28)  |  EBS-Volumes sollten in einem Backup-Plan enthalten sein  |  NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Regelmäßig  | 
|  [EC 2,33](ec2-controls.md#ec2-33)  | EC2-Transit-Gateway-Anhänge sollten gekennzeichnet werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.34](ec2-controls.md#ec2-34)  | Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.35](ec2-controls.md#ec2-35)  | EC2-Netzwerkschnittstellen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.36](ec2-controls.md#ec2-36)  | EC2-Kunden-Gateways sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.37](ec2-controls.md#ec2-37)  | Elastische EC2-IP-Adressen sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.38](ec2-controls.md#ec2-38)  | EC2-Instances sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.39](ec2-controls.md#ec2-39)  | EC2-Internet-Gateways sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.40](ec2-controls.md#ec2-40)  | EC2-NAT-Gateways sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.41](ec2-controls.md#ec2-41)  | Das EC2-Netzwerk sollte markiert ACLs werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.42](ec2-controls.md#ec2-42)  | EC2-Routing-Tabellen sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.43](ec2-controls.md#ec2-43)  | EC2-Sicherheitsgruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.44](ec2-controls.md#ec2-44)  | EC2-Subnetze sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.45](ec2-controls.md#ec2-45)  | EC2-Volumes sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.46](ec2-controls.md#ec2-46)  | Amazon VPCs sollte markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.47](ec2-controls.md#ec2-47)  | Amazon VPC Endpoint Services sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.48](ec2-controls.md#ec2-48)  | Amazon VPC-Flow-Logs sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.49](ec2-controls.md#ec2-49)  | Amazon VPC-Peering-Verbindungen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.50](ec2-controls.md#ec2-50)  | EC2-VPN-Gateways sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.51](ec2-controls.md#ec2-51)  |  Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EC2.52](ec2-controls.md#ec2-52)  | EC2-Transit-Gateways sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.53](ec2-controls.md#ec2-53)  | EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 auf Remote-Serveradministrationsports zulassen | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS  | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [EC 2.54](ec2-controls.md#ec2-54)  | EC2-Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serververwaltungsports zulassen | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [EC 2.55](ec2-controls.md#ec2-55)  | VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Regelmäßig | 
|  [EC 2,56](ec2-controls.md#ec2-56)  | VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Regelmäßig | 
|  [EC 2,57](ec2-controls.md#ec2-57)  | VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Regelmäßig | 
|  [EC 2,58](ec2-controls.md#ec2-58)  | VPCs sollte mit einem Schnittstellen-Endpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Regelmäßig | 
|  [EC 2,60](ec2-controls.md#ec2-60)  | VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Regelmäßig | 
|  [EC 2,170](ec2-controls.md#ec2-170)  | EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2 | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | NIEDRIG | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [EC2.171](ec2-controls.md#ec2-171)  | Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [EC2.172](ec2-controls.md#ec2-172)  | Die EC2 VPC Block Public Access-Einstellungen sollten den Internet-Gateway-Verkehr blockieren | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.173](ec2-controls.md#ec2-173)  | EC2-Spot-Flotte-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [EC2.174](ec2-controls.md#ec2-174)  | EC2-DHCP-Optionssätze sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.175](ec2-controls.md#ec2-175)  | EC2-Startvorlagen sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.176](ec2-controls.md#ec2-176)  | EC2-Präfixlisten sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.177](ec2-controls.md#ec2-177)  | EC2-Traffic-Mirror-Sitzungen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.178](ec2-controls.md#ec2-178)  | EC2-Verkehrsspiegelfilter sollten gekennzeichnet sein | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.179](ec2-controls.md#ec2-179)  | EC2-Traffic-Mirror-Ziele sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EC2.180](ec2-controls.md#ec2-180)  | Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination  | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [EC2.181](ec2-controls.md#ec2-181)  | EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [EC2.182](ec2-controls.md#ec2-182)  | EBS-Snapshots sollten nicht öffentlich zugänglich sein | AWS Bewährte grundlegende Sicherheitsmethoden | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [ECR.1](ecr-controls.md#ecr-1)  |  Für private ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein  | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [ECR.2](ecr-controls.md#ecr-2)  |  Für private ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ECR.3](ecr-controls.md#ecr-3)  |  Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ECR.4](ecr-controls.md#ecr-4)  | Öffentliche ECR-Repositorien sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [ECR.5](ecr-controls.md#ecr-5)  | ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys | NIST SP 800-53 Rev. 5 | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [ECS.2](ecs-controls.md#ecs-2)  |  ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ECS.3](ecs-controls.md#ecs-3)  |  ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ECS.4](ecs-controls.md#ecs-4)  |  ECS-Container sollten ohne Zugriffsrechte ausgeführt werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ECS.5](ecs-controls.md#ecs-5)  |  ECS-Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ECS.8](ecs-controls.md#ecs-8)  |  Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ECS.9](ecs-controls.md#ecs-9)  |  ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ECS.10](ecs-controls.md#ecs-10)  |  Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion ausgeführt werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ECS.12](ecs-controls.md#ecs-12)  |  ECS-Cluster sollten Container Insights verwenden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ECS.13](ecs-controls.md#ecs-13)  | ECS-Dienste sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [ECS.14](ecs-controls.md#ecs-14)  | ECS-Cluster sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [ECS.15](ecs-controls.md#ecs-15)  | ECS-Aufgabendefinitionen sollten mit einem Tag versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [ECS.16](ecs-controls.md#ecs-16)  | ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [ECS.17](ecs-controls.md#ecs-17)  | ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden | NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [ECS.18](ecs-controls.md#ecs-18)  | ECS-Aufgabendefinitionen sollten die Verschlüsselung während der Übertragung für EFS-Volumes verwenden | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [ECS.19](ecs-controls.md#ecs-19)  | ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [ECS.20](ecs-controls.md#ecs-20)  | ECS-Aufgabendefinitionen sollten Benutzer, die keine Root-Benutzer sind, in Linux-Containerdefinitionen konfigurieren | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [ECS.21](ecs-controls.md#ecs-21)  | ECS-Aufgabendefinitionen sollten Benutzer ohne Administratorrechte in Windows-Containerdefinitionen konfigurieren | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [EFS.1](efs-controls.md#efs-1)  |  Elastic File System sollte so konfiguriert sein, dass es Dateidaten im Ruhezustand verschlüsselt AWS KMS  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [EFS.2](efs-controls.md#efs-2)  |  Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [EFS.3](efs-controls.md#efs-3)  |  EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EFS.4](efs-controls.md#efs-4)  |  EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EFS. 5](efs-controls.md#efs-5)  | EFS-Zugangspunkte sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EFS. 6](efs-controls.md#efs-6)  | EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [EFS 7](efs-controls.md#efs-7)  | EFS EFS-Dateisystemen sollten automatische Backups aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [EFS. 8](efs-controls.md#efs-8)  | EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden | CIS AWS Foundations Benchmark v5.0.0, Bewährte Methoden für AWS grundlegende Sicherheit | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EKS.1](eks-controls.md#eks-1)  |  EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [EKS.2](eks-controls.md#eks-2)  |  EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EKS.3](eks-controls.md#eks-3)  | EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [EKS. 6](eks-controls.md#eks-6)  | EKS-Cluster sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EKS.7](eks-controls.md#eks-7)  | Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EKS.8](eks-controls.md#eks-8)  |  Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ElastiCache1](elasticache-controls.md#elasticache-1).  | ElastiCache Bei Clustern (Redis OSS) sollten automatische Backups aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Regelmäßig | 
|  [ElastiCache2.2](elasticache-controls.md#elasticache-2)  |  ElastiCache Bei Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [ElastiCache3.](elasticache-controls.md#elasticache-3)  | ElastiCache Für Replikationsgruppen sollte automatisches Failover aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [ElastiCache4.](elasticache-controls.md#elasticache-4)  | ElastiCache Replikationsgruppen sollten encrypted-at-rest |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [ElastiCache5.](elasticache-controls.md#elasticache-5)  | ElastiCache Replikationsgruppen sollten encrypted-in-transit | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [ElastiCache6.](elasticache-controls.md#elasticache-6)  |  ElastiCache (Redis OSS) -Replikationsgruppen früherer Versionen sollten Redis OSS AUTH aktiviert haben  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [ElastiCache7.](elasticache-controls.md#elasticache-7)  | ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [ElasticBeanstalk1](elasticbeanstalk-controls.md#elasticbeanstalk-1).  |  In Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ElasticBeanstalk2.2](elasticbeanstalk-controls.md#elasticbeanstalk-2)  |  Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [ElasticBeanstalk3.](elasticbeanstalk-controls.md#elasticbeanstalk-3)  |  Elastic Beanstalk sollte Logs streamen nach CloudWatch  | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [ELB.1](elb-controls.md#elb-1)  |  Der Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [ELB.2](elb-controls.md#elb-2)  |  Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ELB.3](elb-controls.md#elb-3)  |  Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ELB.4](elb-controls.md#elb-4)  |  Der Application Load Balancer sollte so konfiguriert sein, dass er HTTP-Header löscht  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ELB.5](elb-controls.md#elb-5)  |  Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ELB.6](elb-controls.md#elb-6)  | Für Anwendung, Gateway und Network Load Balancer sollte der Löschschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [ELB.7](elb-controls.md#elb-7)  |  Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  | NIEDRIG |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ELB.8](elb-controls.md#elb-8)  |  Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Konfiguration verwenden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ELB.9](elb-controls.md#elb-9)  |  Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ELB.10](elb-controls.md#elb-10)  |  Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [ELB.12](elb-controls.md#elb-12)  |  Der Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ELB.13](elb-controls.md#elb-13)  |  Load Balancer für Anwendungen, Netzwerke und Gateways sollten sich über mehrere Availability Zones erstrecken  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [ELB.14](elb-controls.md#elb-14)  |  Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden.  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ELB.16](elb-controls.md#elb-16)  |  Application Load Balancer sollten mit einer AWS WAF-Web-ACL verknüpft sein  |  NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ELB.17](elb-controls.md#elb-17)  | Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ELB.18](elb-controls.md#elb-18)  | Applications- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln. | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [ELB.21](elb-controls.md#elb-21)  |  Anwendungs- und Network Load Balancer Balancer-Zielgruppen sollten verschlüsselte Health Check-Protokolle verwenden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ELB.22](elb-controls.md#elb-22)  |  ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EMR.1](emr-controls.md#emr-1)  | Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [EMR. 2](emr-controls.md#emr-2)  | Die Einstellung „Öffentlichen Zugriff blockieren“ in Amazon EMR sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITISCH | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [EMR. 3](emr-controls.md#emr-3)  | Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [EMR. 4](emr-controls.md#emr-4)  | Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [ES.1](es-controls.md#es-1)  |  Für Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [ES.2](es-controls.md#es-2)  |  Elasticsearch-Domains sollten nicht öffentlich zugänglich sein  | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5  |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [ES.3](es-controls.md#es-3)  |  Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ES.4](es-controls.md#es-4)  |  Die Protokollierung von Elasticsearch-Domänenfehlern in CloudWatch Logs sollte aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ES.5](es-controls.md#es-5)  |  Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ES.6](es-controls.md#es-6)  |  Elasticsearch-Domains sollten mindestens drei Datenknoten haben  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ES.7](es-controls.md#es-7)  |  Elasticsearch-Domains sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [ES.8](es-controls.md#es-8)  | Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [ES.9](es-controls.md#es-9)  | Elasticsearch-Domains sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EventBridge2.2](eventbridge-controls.md#eventbridge-2)  | EventBridge Eventbusse sollten gekennzeichnet sein | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [EventBridge3.](eventbridge-controls.md#eventbridge-3)  |  EventBridge maßgeschneiderte Eventbusse sollten mit einer ressourcenbasierten Richtlinie versehen sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [EventBridge4.](eventbridge-controls.md#eventbridge-4)  |  EventBridge Auf globalen Endpunkten sollte die Ereignisreplikation aktiviert sein  |  NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [FraudDetector1](frauddetector-controls.md#frauddetector-1).  | Die Entitätstypen von Amazon Fraud Detector sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [FraudDetector2.2](frauddetector-controls.md#frauddetector-2)  | Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [FraudDetector3.](frauddetector-controls.md#frauddetector-3)  | Die Ergebnisse von Amazon Fraud Detector sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [FraudDetector4.](frauddetector-controls.md#frauddetector-4)  | Die Variablen von Amazon Fraud Detector sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [FSx1](fsx-controls.md#fsx-1).  |  FSx für OpenZFS sollten Dateisysteme so konfiguriert sein, dass sie Tags auf Backups und Volumes kopieren  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  | Regelmäßig | 
|  [FSx2.](fsx-controls.md#fsx-2)  | FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass sie Tags in Backups kopieren | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | NIEDRIG | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [FSx3.](fsx-controls.md#fsx-3)  | FSx für OpenZFS sollten Dateisysteme für den Multi-AZ-Einsatz konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [FSx4.](fsx-controls.md#fsx-4)  | FSx für NetApp ONTAP sollten Dateisysteme für den Multi-AZ-Einsatz konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Regelmäßig | 
|  [FSx5.](fsx-controls.md#fsx-5)  | FSx für Windows-Dateiserver sollten Dateisysteme für die Multi-AZ-Bereitstellung konfiguriert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [Kleber.1](glue-controls.md#glue-1)  | AWS Glue Jobs sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Kleber.3](glue-controls.md#glue-3)  | AWS Glue Transformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [Kleber.4](glue-controls.md#glue-4)  | AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [GlobalAccelerator1](globalaccelerator-controls.md#globalaccelerator-1).  | Global Accelerator-Beschleuniger sollten markiert sein | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [GuardDuty1](guardduty-controls.md#guardduty-1).  |  GuardDuty sollte aktiviert sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [GuardDuty2.2](guardduty-controls.md#guardduty-2)  | GuardDuty Filter sollten markiert werden  | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [GuardDuty3.](guardduty-controls.md#guardduty-3)  | GuardDuty IPSets sollte markiert werden  | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [GuardDuty4.](guardduty-controls.md#guardduty-4)  | GuardDuty Detektoren sollten markiert werden  | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [GuardDuty5.](guardduty-controls.md#guardduty-5)  | GuardDuty EKS Audit Log Monitoring sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [GuardDuty6.](guardduty-controls.md#guardduty-6)  | GuardDuty Lambda-Schutz sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [GuardDuty.7](guardduty-controls.md#guardduty-7)  | GuardDuty EKS Runtime Monitoring sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [GuardDuty.8](guardduty-controls.md#guardduty-8)  | GuardDuty Der Malware-Schutz für EC2 sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [GuardDuty9.](guardduty-controls.md#guardduty-9)  | GuardDuty Der RDS-Schutz sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [GuardDuty1.0](guardduty-controls.md#guardduty-10)  | GuardDuty S3-Schutz sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [GuardDuty1.1](guardduty-controls.md#guardduty-11)  | GuardDuty Runtime Monitoring sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [GuardDuty1.2](guardduty-controls.md#guardduty-12)  | GuardDuty ECS Runtime Monitoring sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [GuardDuty1.3](guardduty-controls.md#guardduty-13)  | GuardDuty EC2 Runtime Monitoring sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [IAM.1](iam-controls.md#iam-1)  |  IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen  | CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [IAM.2](iam-controls.md#iam-2)  |  IAM-Benutzern sollten keine IAM-Richtlinien zugewiesen sein  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [IAM.3](iam-controls.md#iam-3)  |  Die Zugangsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [IAM.4](iam-controls.md#iam-4)  |  Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS  |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [IAM.5](iam-controls.md#iam-5)  |  MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [IAM.6](iam-controls.md#iam-6)  |  Hardware-MFA sollte für den Root-Benutzer aktiviert sein  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS  |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [IAM.7](iam-controls.md#iam-7)  |  Passwortrichtlinien für IAM-Benutzer sollten starke Konfigurationen haben  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Regelmäßig  | 
|  [IAM.8](iam-controls.md#iam-8)  |  Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden  | CIS AWS Foundations Benchmark v1.2.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [IAM.9](iam-controls.md#iam-9)  |  MFA sollte für den Root-Benutzer aktiviert sein  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS  |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [ICH BIN .10](iam-controls.md#iam-10)  |  Passwortrichtlinien für IAM-Benutzer sollten solide Konfigurationen haben  | NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [IAM.11](iam-controls.md#iam-11)  |  Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert  | Benchmark der CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [IAM.12](iam-controls.md#iam-12)  |  Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert  | Benchmark der CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [IAM.13](iam-controls.md#iam-13)  |  Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist  | Benchmark v1.2.0 der CIS AWS Foundations, NIST SP 800-171 Rev. 2 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [IAM.14](iam-controls.md#iam-14)  |  Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert  | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [IAM.15](iam-controls.md#iam-15)  |  Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP AWS 800-171 Rev. 2 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [IAM.16](iam-controls.md#iam-16)  |  Sicherstellen, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [IAM.17](iam-controls.md#iam-17)  |  Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft  | Benchmark v1.2.0 der CIS AWS Foundations, PCI DSS v4.0.1 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [IAM.18](iam-controls.md#iam-18)  |  Stellen Sie sicher, dass eine Support-Rolle für die Bearbeitung von Vorfällen eingerichtet wurde mit AWS Support  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [ICH BIN. 19](iam-controls.md#iam-19)  |  MFA sollte für alle IAM-Benutzer aktiviert sein  | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [IAM.21](iam-controls.md#iam-21)  |  Von Ihnen erstellte, vom Kunden verwaltete IAM-Richtlinien sollten keine Platzhalteraktionen für Dienste zulassen  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [IAM.22](iam-controls.md#iam-22)  |  IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS NIST SP 800-171 Rev. 2 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [ICH BIN. 23](iam-controls.md#iam-23)  | IAM Access Analyzer-Analyzer sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [ICH BIN. 24](iam-controls.md#iam-24)  | IAM-Rollen sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [ICH BIN .25](iam-controls.md#iam-25)  | IAM-Benutzer sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [ICH BIN .26](iam-controls.md#iam-26) | Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [ICH BIN. 27](iam-controls.md#iam-27)  | IAM-Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloud ShellFullAccess  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0 AWS  | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [ICH BIN .28](iam-controls.md#iam-28)  | Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [Inspektor.1](inspector-controls.md#inspector-1)  | Amazon Inspector EC2-Scannen sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [Inspektor.2](inspector-controls.md#inspector-2)  | Das Amazon Inspector ECR-Scannen sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [Inspektor.3](inspector-controls.md#inspector-3)  | Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [Inspektor.4](inspector-controls.md#inspector-4)  | Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [IoT. 1](iot-controls.md#iot-1)  | AWS IoT Device Defender Sicherheitsprofile sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [IoT.2](iot-controls.md#iot-2)  | AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [IoT.3](iot-controls.md#iot-3)  | AWS IoT Core Abmessungen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [IoT.4](iot-controls.md#iot-4)  | AWS IoT Core Autorisierer sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [IoT.5](iot-controls.md#iot-5)  | AWS IoT Core Rollenaliase sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [IoT. 6](iot-controls.md#iot-6)  | AWS IoT Core Richtlinien sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [iOS TEvents 1.](iotevents-controls.md#iotevents-1)  | AWS IoT Events Eingaben sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [iOS TEvents 1.2](iotevents-controls.md#iotevents-2)  | AWS IoT Events Detektormodelle sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [iOS TEvents 3.](iotevents-controls.md#iotevents-3)  | AWS IoT Events Alarmmodelle sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Ich TSite weise.1](iotsitewise-controls.md#iotsitewise-1)  | AWS IoT SiteWise Asset-Modelle sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Ich TSite weise.2](iotsitewise-controls.md#iotsitewise-2)  | AWS IoT SiteWise Dashboards sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Ich TSite weise.3](iotsitewise-controls.md#iotsitewise-3)  | AWS IoT SiteWise Gateways sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Ich TSite weise.4](iotsitewise-controls.md#iotsitewise-4)  | AWS IoT SiteWise Portale sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Ich TSite weise.5](iotsitewise-controls.md#iotsitewise-5)  | AWS IoT SiteWise Projekte sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Io TTwin Maker.1](iottwinmaker-controls.md#iottwinmaker-1)  | AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Io TTwin Maker.2](iottwinmaker-controls.md#iottwinmaker-2)  | AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Io TTwin Maker.3](iottwinmaker-controls.md#iottwinmaker-3)  | AWS TwinMaker IoT-Szenen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Io TTwin Maker.4](iottwinmaker-controls.md#iottwinmaker-4)  | AWS TwinMaker IoT-Entitäten sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [iOS TWireless 1.](iotwireless-controls.md#iotwireless-1)  | AWS IoT-Wireless-Multicast-Gruppen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [iOS TWireless 1.2](iotwireless-controls.md#iotwireless-2)  | AWS IoT-Wireless-Serviceprofile sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [iOS TWireless 3.](iotwireless-controls.md#iotwireless-3)  | AWS IoT Wireless FUOTA-Aufgaben sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [IVS.1](ivs-controls.md#ivs-1)  | Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [IVS.2](ivs-controls.md#ivs-2)  | IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [IVS.3](ivs-controls.md#ivs-3)  | IVS-Kanäle sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Tastenfelder.1](keyspaces-controls.md#keyspaces-1)  | Amazon Keyspaces-Keyspaces sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Kinesis.1](kinesis-controls.md#kinesis-1)  |  Kinesis-Streams sollten im Ruhezustand verschlüsselt werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Kinese.2](kinesis-controls.md#kinesis-2)  | Kinesis-Streams sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Kinese.3](kinesis-controls.md#kinesis-3)  | Kinesis-Streams sollten über eine angemessene Datenaufbewahrungsfrist verfügen | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [KMS.1](kms-controls.md#kms-1)  |  Vom Kunden verwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [KMS.2](kms-controls.md#kms-2)  |  IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [KMS.3](kms-controls.md#kms-3)  |  AWS KMS keys sollte nicht ungewollt gelöscht werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [KMS.4](kms-controls.md#kms-4)  |  AWS KMS key Die Rotation sollte aktiviert sein  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [KMS.5](kms-controls.md#kms-5)  | KMS-Schlüssel sollten nicht öffentlich zugänglich sein | AWS Bewährte grundlegende Sicherheitsmethoden | KRITISCH | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [Lambda.1](lambda-controls.md#lambda-1)  |  Richtlinien für Lambda-Funktionen sollten den öffentlichen Zugriff verbieten  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Lambda.2](lambda-controls.md#lambda-2)  |  Lambda-Funktionen sollten unterstützte Laufzeiten verwenden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Lambda.3](lambda-controls.md#lambda-3)  |  Lambda-Funktionen sollten sich in einer VPC befinden  |  PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Lambda.5](lambda-controls.md#lambda-5)  |  VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [Lambda.6](lambda-controls.md#lambda-6)  | Lambda-Funktionen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Lambda.7](lambda-controls.md#lambda-7)  | Lambda Lambda-Funktionen sollte die AWS X-Ray aktive Ablaufverfolgung aktiviert sein | NIST SP 800-53 Rev. 5 | NIEDRIG | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [Macie.1](macie-controls.md#macie-1)  |  Amazon Macie sollte aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [Macie.2](macie-controls.md#macie-2)  | Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [MSK.1](msk-controls.md#msk-1)  |  MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [MSK.2](msk-controls.md#msk-2)  |  Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein  |  NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [MSK.3](msk-controls.md#msk-3)  | MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  | Änderung ausgelöst | 
|  [MSK.4](msk-controls.md#msk-4)  | Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | KRITISCH | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [MSK.5](msk-controls.md#msk-5)  | Bei MSK-Anschlüssen sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [MSK.6](msk-controls.md#msk-6)  | MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [MQ. 2](mq-controls.md#mq-2)  | ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [MQ. 4](mq-controls.md#mq-4)  | Amazon MQ-Broker sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [MQ.5](mq-controls.md#mq-5)  |  ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby  | NIST SP 800-53 Rev. 5 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [MQ.6](mq-controls.md#mq-6)  |  RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden  | NIST SP 800-53 Rev. 5 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Neptun.1](neptune-controls.md#neptune-1)  |  Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  | Änderung ausgelöst | 
|  [Neptun.2](neptune-controls.md#neptune-2)  |  Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  | Änderung ausgelöst | 
|  [Neptun.3](neptune-controls.md#neptune-3)  |  Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Neptun.4](neptune-controls.md#neptune-4)  |  Neptune Neptune-DB-Clustern sollte der Löschschutz aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Neptun.5](neptune-controls.md#neptune-5)  |  Neptune Neptune-DB-Clustern sollten automatische Backups aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [Neptun.6](neptune-controls.md#neptune-6)  |  Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Neptun.7](neptune-controls.md#neptune-7)  |  Neptune Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Neptun.8](neptune-controls.md#neptune-8)  |  Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Neptun.9](neptune-controls.md#neptune-9)  |  Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden  |  NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [NetworkFirewall1](networkfirewall-controls.md#networkfirewall-1).  |  Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden  |  NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [NetworkFirewall2.2](networkfirewall-controls.md#networkfirewall-2)  |  Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [NetworkFirewall3.](networkfirewall-controls.md#networkfirewall-3)  |  Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [NetworkFirewall4.](networkfirewall-controls.md#networkfirewall-4)  |  Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ lauten.  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [NetworkFirewall5.](networkfirewall-controls.md#networkfirewall-5)  |  Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ lauten.  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [NetworkFirewall6.](networkfirewall-controls.md#networkfirewall-6)  |  Die Regelgruppe der Stateless Network Firewall sollte nicht leer sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [NetworkFirewall7.](networkfirewall-controls.md#networkfirewall-7)  | Netzwerk-Firewall-Firewalls sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [NetworkFirewall8.](networkfirewall-controls.md#networkfirewall-8)  | Netzwerk-Firewall-Firewall-Richtlinien sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [NetworkFirewall9.](networkfirewall-controls.md#networkfirewall-9)  |  Network Firewall Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [NetworkFirewall1.0](networkfirewall-controls.md#networkfirewall-10)  | Network Firewall Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [OpenSearch.1](opensearch-controls.md#opensearch-1)  |  OpenSearch Bei Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [OpenSearch.2](opensearch-controls.md#opensearch-2)  |  OpenSearch Domains sollten nicht öffentlich zugänglich sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [OpenSearch.3](opensearch-controls.md#opensearch-3)  |  OpenSearch Domänen sollten Daten verschlüsseln, die zwischen Knoten gesendet werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [OpenSearch.4](opensearch-controls.md#opensearch-4)  |  OpenSearch Die Protokollierung von Domänenfehlern in CloudWatch Logs sollte aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [OpenSearch.5](opensearch-controls.md#opensearch-5)  |  OpenSearch Für Domänen sollte die Auditprotokollierung aktiviert sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [OpenSearch.6](opensearch-controls.md#opensearch-6)  |  OpenSearch Domänen sollten mindestens drei Datenknoten haben  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [OpenSearch.7](opensearch-controls.md#opensearch-7)  |  OpenSearch Für Domänen sollte eine fein abgestufte Zugriffskontrolle aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [OpenSearch.8](opensearch-controls.md#opensearch-8)  | Verbindungen zu OpenSearch Domänen sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden |  AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [Suche öffnen.9](opensearch-controls.md#opensearch-9)  | OpenSearch Domains sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Suche öffnen.10](opensearch-controls.md#opensearch-10)  |  OpenSearch Auf den Domains sollte das neueste Softwareupdate installiert sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Opensearch.11](opensearch-controls.md#opensearch-11)  | OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben | NIST SP 800-53 Rev. 5 | NIEDRIG | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [PCA.1](pca-controls.md#pca-1)  |  AWS Private CA Die Stammzertifizierungsstelle sollte deaktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  | Regelmäßig | 
|  [PCA.2](pca-controls.md#pca-2)  | AWS Private Zertifizierungsstellen sollten gekennzeichnet werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [RDS.1](rds-controls.md#rds-1)  |  Der RDS-Snapshot sollte privat sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.2](rds-controls.md#rds-2)  |  RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den PubliclyAccessible öffentlichen Zugriff verbieten  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.3](rds-controls.md#rds-3)  |  Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.4](rds-controls.md#rds-4)  |  RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.5](rds-controls.md#rds-5)  |  RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden  | CIS AWS Foundations Benchmark v5.0.0, Best Practices für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.6](rds-controls.md#rds-6)  |  Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [RDS.7](rds-controls.md#rds-7)  |  Für RDS-Cluster sollte der Löschschutz aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  | MITTEL |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.8](rds-controls.md#rds-8)  |  Für RDS-DB-Instances sollte der Löschschutz aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.9](rds-controls.md#rds-9)  | RDS-DB-Instances sollten CloudWatch Protokolle in Logs veröffentlichen | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.10](rds-controls.md#rds-10)  |  Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.11](rds-controls.md#rds-11)  |  Für RDS-Instanzen sollten automatische Backups aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [RDS.12](rds-controls.md#rds-12)  |  Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.13](rds-controls.md#rds-13)  |  Automatische RDS-Upgrades für kleinere Versionen sollten aktiviert sein  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.14](rds-controls.md#rds-14)  |  Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [RDS.15](rds-controls.md#rds-15)  |  RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden  | CIS AWS Foundations Benchmark v5.0.0, Best Practices für AWS grundlegende Sicherheit v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.16](rds-controls.md#rds-16)  | Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5 | NIEDRIG  | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [RDS.17](rds-controls.md#rds-17)  |  RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.18](rds-controls.md#rds-18)  |  RDS-Instances sollten in einer VPC bereitgestellt werden  |   |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.19](rds-controls.md#rds-19)  |  Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Clusterereignisse konfiguriert werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.20](rds-controls.md#rds-20)  |  Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.21](rds-controls.md#rds-21)  |  Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.22](rds-controls.md#rds-22)  |  Für kritische Ereignisse in Datenbanksicherheitsgruppen sollte ein Abonnement für RDS-Ereignisbenachrichtigungen konfiguriert werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.23](rds-controls.md#rds-23)  |  RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.24](rds-controls.md#rds-24)  |  RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.25](rds-controls.md#rds-25)  |  RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.26](rds-controls.md#rds-26)  |  RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden  |  NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Regelmäßig  | 
|  [RDS.27](rds-controls.md#rds-27)  |  RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.28](rds-controls.md#rds-28)  | RDS-DB-Cluster sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [RDS.29](rds-controls.md#rds-29)  | Snapshots des RDS-DB-Clusters sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [RDS.30](rds-controls.md#rds-30)  | RDS-DB-Instances sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [RDS.31](rds-controls.md#rds-31)  | RDS-DB-Sicherheitsgruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [RDS.32](rds-controls.md#rds-32)  | RDS-DB-Snapshots sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [RDS.33](rds-controls.md#rds-33)  | RDS-DB-Subnetzgruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [RDS.34](rds-controls.md#rds-34)  |  Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.35](rds-controls.md#rds-35)  |  Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversionen aktiviert sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [RDS.36](rds-controls.md#rds-36)  | RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch  | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [RDS.37](rds-controls.md#rds-37)  | Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch  | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [RDS.38](rds-controls.md#rds-38)  | RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [RDS.39](rds-controls.md#rds-39)  | RDS für MySQL-DB-Instances sollte bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [RDS.40](rds-controls.md#rds-40)  | RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [RDS.41](rds-controls.md#rds-41)  | RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [RDS.42](rds-controls.md#rds-42)  | RDS für MariaDB-DB-Instances sollte Protokolle in Logs veröffentlichen CloudWatch  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Regelmäßig | 
|  [RDS.43](rds-controls.md#rds-43)  | RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [RDS.44](rds-controls.md#rds-44)  | RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [RDS.45](rds-controls.md#rds-45)  | Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [RDS.46](rds-controls.md#rds-46)  | RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden | AWS Bewährte grundlegende Sicherheitsmethoden | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [RDS.47](rds-controls.md#rds-47)  | RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden | AWS Bewährte grundlegende Sicherheitsmethoden | NIEDRIG | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [RDS.48](rds-controls.md#rds-48)  | RDS für MySQL-DB-Cluster sollten so konfiguriert sein, dass Tags in DB-Snapshots kopiert werden | AWS Bewährte grundlegende Sicherheitsmethoden | NIEDRIG | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [RDS.50](rds-controls.md#rds-50)  |  Für RDS-DB-Cluster sollte ein ausreichender Aufbewahrungszeitraum für Backups festgelegt sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Ja  |  Änderung ausgelöst  | 
|  [Redshift.1](redshift-controls.md#redshift-1)  |  Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Redshift.2](redshift-controls.md#redshift-2)  |  Verbindungen zu Amazon Redshift Redshift-Clustern sollten während der Übertragung verschlüsselt werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Redshift.3](redshift-controls.md#redshift-3)  |  Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [Redshift.4](redshift-controls.md#redshift-4)  |  Amazon Redshift Redshift-Cluster sollte die Audit-Protokollierung aktiviert sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Redshift.6](redshift-controls.md#redshift-6)  |  Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Redshift.7](redshift-controls.md#redshift-7)  |  Redshift-Cluster sollten erweitertes VPC-Routing verwenden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Redshift.8](redshift-controls.md#redshift-8)  |  Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Redshift.10](redshift-controls.md#redshift-10)  |  Redshift-Cluster sollten im Ruhezustand verschlüsselt werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [Rotverschiebung.11](redshift-controls.md#redshift-11)  | Redshift-Cluster sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Rotverschiebung.12](redshift-controls.md#redshift-12)  | Abonnementbenachrichtigungen für Redshift-Ereignisse sollten mit Tags versehen werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Rotverschiebung.13](redshift-controls.md#redshift-13)  | Redshift-Cluster-Snapshots sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Rotverschiebung.14](redshift-controls.md#redshift-14)  | Redshift-Cluster-Subnetzgruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Rotverschiebung.15](redshift-controls.md#redshift-15)  | Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen. | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [Rotverschiebung.16](redshift-controls.md#redshift-16)  | Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben | NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [Rotverschiebung.17](redshift-controls.md#redshift-17)  | Redshift-Cluster-Parametergruppen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Rotverschiebung.18](redshift-controls.md#redshift-18)  | Redshift Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [RedshiftServerless1](redshiftserverless-controls.md#redshiftserverless-1).  | Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden | AWS Bewährte grundlegende Sicherheitsmethoden | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [RedshiftServerless2.2](redshiftserverless-controls.md#redshiftserverless-2)  | Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [RedshiftServerless3.](redshiftserverless-controls.md#redshiftserverless-3)  | Redshift Serverlose Arbeitsgruppen sollten den öffentlichen Zugriff verbieten | AWS Bewährte grundlegende Sicherheitsmethoden | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [RedshiftServerless4.](redshiftserverless-controls.md#redshiftserverless-4)  | Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys | NIST SP 800-53 Rev. 5 | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Regelmäßig | 
|  [RedshiftServerless5.](redshiftserverless-controls.md#redshiftserverless-5)  | Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [RedshiftServerless6.](redshiftserverless-controls.md#redshiftserverless-6)  | Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch  | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [Route 53.1](route53-controls.md#route53-1)  | Route 53-Gesundheitschecks sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Route 53.2](route53-controls.md#route53-2)  |  In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [S3.1](s3-controls.md#s3-1)  | Für S3-Allzweck-Buckets sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [S3.2](s3-controls.md#s3-2)  | S3-Buckets für allgemeine Zwecke sollten den öffentlichen Lesezugriff blockieren | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | KRITISCH | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst und periodisch | 
|  [S3.3](s3-controls.md#s3-3)  | S3-Buckets für allgemeine Zwecke sollten den öffentlichen Schreibzugriff blockieren | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | KRITISCH | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst und periodisch | 
|  [S3.5](s3-controls.md#s3-5)  | Für S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erforderlich sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [S3.6](s3-controls.md#s3-6)  | Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [S3.7](s3-controls.md#s3-7)  | S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | NIEDRIG | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [S3.8](s3-controls.md#s3-8)  | S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Bewährte Methoden für AWS grundlegende Sicherheit, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [S3.9](s3-controls.md#s3-9)  | Für S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [S3.10](s3-controls.md#s3-10)  | S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben | NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [S3.11](s3-controls.md#s3-11)  | Für S3-Buckets für allgemeine Zwecke sollten Ereignisbenachrichtigungen aktiviert sein | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [S3.12](s3-controls.md#s3-12)  | ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [S3.13](s3-controls.md#s3-13)  | S3-Buckets für allgemeine Zwecke sollten Lifecycle-Konfigurationen haben | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [S3.14](s3-controls.md#s3-14)  | Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | NIEDRIG | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [S3.15](s3-controls.md#s3-15)  | Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [S3.17](s3-controls.md#s3-17)  | S3-Buckets für allgemeine Zwecke sollten im Ruhezustand mit verschlüsselt werden AWS KMS keys | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [S3.19](s3-controls.md#s3-19)  | Bei S3-Zugangspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITISCH | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [S3.20](s3-controls.md#s3-20)  | Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, NIST AWS SP 800-53 Rev. 5 | NIEDRIG | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [S3.22](s3-controls.md#s3-22)  | S3-Buckets für allgemeine Zwecke sollten Schreibereignisse auf Objektebene protokollieren | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, PCI AWS DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [S3.23](s3-controls.md#s3-23)  | S3-Buckets für allgemeine Zwecke sollten Leseereignisse auf Objektebene protokollieren | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, PCI AWS DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [S3.24](s3-controls.md#s3-24)  | Für S3-Access Points mit mehreren Regionen sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, PCI DSS v4.0.1 | HIGH (HOCH) | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [S3.25](s3-controls.md#s3-25)  | S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben | AWS Bewährte grundlegende Sicherheitsmethoden | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [SageMaker1](sagemaker-controls.md#sagemaker-1).  |  SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [SageMaker2.2](sagemaker-controls.md#sagemaker-2)  |  SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [SageMaker3.](sagemaker-controls.md#sagemaker-3)  |  Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instanzen haben  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [SageMaker4.](sagemaker-controls.md#sagemaker-4)  | SageMaker Bei Produktionsvarianten für Endgeräte sollte die anfängliche Anzahl der Instanzen größer als 1 sein | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [SageMaker5.](sagemaker-controls.md#sagemaker-5)  | SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [SageMaker6.](sagemaker-controls.md#sagemaker-6)  | SageMaker App-Image-Konfigurationen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [SageMaker7.](sagemaker-controls.md#sagemaker-7)  | SageMaker Bilder sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [SageMaker8.](sagemaker-controls.md#sagemaker-8)  | SageMaker Notebook-Instanzen sollten auf unterstützten Plattformen laufen | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [SageMaker9.](sagemaker-controls.md#sagemaker-9)  |  SageMaker Für Auftragsdefinitionen zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [SageMaker1.0](sagemaker-controls.md#sagemaker-10)  |  SageMaker Bei den Auftragsdefinitionen zur Erläuterung des Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [SageMaker1.1](sagemaker-controls.md#sagemaker-11)  |  SageMaker Für Auftragsdefinitionen zur Datenqualität sollte die Netzwerkisolierung aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [SageMaker1.2](sagemaker-controls.md#sagemaker-12)  |  SageMaker Bei Jobdefinitionen mit Modellverzerrung sollte die Netzwerkisolierung aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [SageMaker1.3](sagemaker-controls.md#sagemaker-13)  |  SageMaker Bei den Auftragsdefinitionen in Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [SageMaker1.4](sagemaker-controls.md#sagemaker-14)  |  SageMaker Bei den Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [SageMaker1.5](sagemaker-controls.md#sagemaker-15)  |  SageMaker Bei den Auftragsdefinitionen mit Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [SecretsManager1](secretsmanager-controls.md#secretsmanager-1).  |  Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [SecretsManager2.2](secretsmanager-controls.md#secretsmanager-2)  |  Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [SecretsManager3.](secretsmanager-controls.md#secretsmanager-3)  |  Unbenutzte Secrets Manager Manager-Geheimnisse entfernen  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Regelmäßig  | 
|  [SecretsManager4.](secretsmanager-controls.md#secretsmanager-4)  |  Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Regelmäßig  | 
|  [SecretsManager5.](secretsmanager-controls.md#secretsmanager-5)  | Secrets Manager Manager-Geheimnisse sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [ServiceCatalog1](servicecatalog-controls.md#servicecatalog-1).  | Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [SES.1](ses-controls.md#ses-1)  | SES-Kontaktlisten sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [SES.2](ses-controls.md#ses-2)  | SES-Konfigurationssätze sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [SES.3](ses-controls.md#ses-3)  | In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [SNS.1](sns-controls.md#sns-1)  | SNS-Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [SNS.3](sns-controls.md#sns-3)  | SNS-Themen sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [SNS.4](sns-controls.md#sns-4)  | Richtlinien für den Zugriff auf SNS-Themen sollten keinen öffentlichen Zugriff zulassen | AWS Bewährte grundlegende Sicherheitsmethoden | KRITISCH | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [SQS.1](sqs-controls.md#sqs-1)  |  Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [SQS.2](sqs-controls.md#sqs-2)  | SQS-Warteschlangen sollten markiert werden | AWS Standard für Ressourcen-Tagging | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [SQS.3](sqs-controls.md#sqs-3)  | Die SQS-Richtlinien für den Warteschlangenzugriff sollten keinen öffentlichen Zugriff zulassen | AWS Bewährte grundlegende Sicherheitsmethoden | KRITISCH | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [SSM.1](ssm-controls.md#ssm-1)  |  EC2-Instances sollten verwaltet werden von AWS Systems Manager  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [SSM.2](ssm-controls.md#ssm-2)  |  Von Systems Manager verwaltete EC2-Instances sollten nach einer Patch-Installation den Patch-Konformitätsstatus COMPLIANT haben  | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  HIGH (HOCH)  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [SSM.3](ssm-controls.md#ssm-3)  |  Von Systems Manager verwaltete EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben  | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [SSM.4](ssm-controls.md#ssm-4)  |  SSM-Dokumente sollten nicht öffentlich sein  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  KRITISCH  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [SSM.5](ssm-controls.md#ssm-5)  | SSM-Dokumente sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [SSM.6](ssm-controls.md#ssm-6)  | Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch  | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [SSM. 7](ssm-controls.md#ssm-7)  | Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | KRITISCH | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [StepFunctions1](stepfunctions-controls.md#stepfunctions-1).  |  Step Functions, bei Zustandsmaschinen sollte die Protokollierung aktiviert sein  | AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, PCI DSS v4.0.1 |  MITTEL  |  ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja  |  Änderung ausgelöst  | 
|  [StepFunctions2.2](stepfunctions-controls.md#stepfunctions-2)  | Step Functions Functions-Aktivitäten sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Übertragung.1](transfer-controls.md#transfer-1)  | Die Workflows von Transfer Family sollten mit Tags versehen werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Übertragung.2](transfer-controls.md#transfer-2)  | Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Regelmäßig | 
|  [Übertragung.3](transfer-controls.md#transfer-3)  | Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5 | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [Übertragung.4](transfer-controls.md#transfer-4)  | Transfer Family Familienverträge sollten gekennzeichnet werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Übertragung.5](transfer-controls.md#transfer-5)  | Transfer Family Familienzertifikate sollten gekennzeichnet sein | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Übertragung.6](transfer-controls.md#transfer-6)  | Steckverbinder der Transfer-Familie sollten gekennzeichnet sein | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [Übertragung.7](transfer-controls.md#transfer-7)  | Transfer Family Familienprofile sollten markiert werden | AWS Standard für die Kennzeichnung von Ressourcen | NIEDRIG | ![\[Yes\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-yes.png) Ja | Änderung ausgelöst | 
|  [WAF.1](waf-controls.md#waf-1)  |  AWS Die WAF Classic Global Web ACL-Protokollierung sollte aktiviert sein  | AWS Bewährte grundlegende Sicherheitsmethoden, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [WAF.2](waf-controls.md#waf-2)  |  AWS Die regionalen Regeln von WAF Classic sollten mindestens eine Bedingung enthalten  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [WAF.3](waf-controls.md#waf-3)  |  AWS WAF Classic Regional Regelgruppen sollten mindestens eine Regel haben  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [WAF.4](waf-controls.md#waf-4)  |  AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe haben  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [WAF.6](waf-controls.md#waf-6)  |  AWS Globale WAF Classic-Regeln sollten mindestens eine Bedingung haben  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [WAF.7](waf-controls.md#waf-7)  |  AWS Globale WAF Classic-Regelgruppen sollten mindestens eine Regel haben  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [WAF.8](waf-controls.md#waf-8)  |  AWS WAF Classic Global Web ACLs sollte mindestens eine Regel oder Regelgruppe haben  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [WAF.10](waf-controls.md#waf-10)  |  AWS Das WAF-Web ACLs sollte mindestens eine Regel oder Regelgruppe haben  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [WAF.11](waf-controls.md#waf-11)  |  AWS Die WAF-Web-ACL-Protokollierung sollte aktiviert sein  | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  NIEDRIG  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Regelmäßig  | 
|  [WAF. 12](waf-controls.md#waf-12)  |  AWS Bei WAF-Regeln sollten Metriken aktiviert sein CloudWatch  |  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MITTEL  |  ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein  |  Änderung ausgelöst  | 
|  [WorkSpaces1](workspaces-controls.md#workspaces-1).  | WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 
|  [WorkSpaces2.2](workspaces-controls.md#workspaces-2)  | WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden | AWS Bewährte grundlegende Sicherheitsmethoden | MITTEL | ![\[No\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/icon-no.png) Nein | Änderung ausgelöst | 

# Änderungsprotokoll für Security Hub CSPM-Steuerelemente
<a name="controls-change-log"></a>

Das folgende Änderungsprotokoll verfolgt wesentliche Änderungen an bestehenden AWS Security Hub CSPM-Kontrollen, die zu Änderungen des Gesamtstatus einer Kontrolle und des Compliance-Status ihrer Ergebnisse führen können. Informationen darüber, wie Security Hub CSPM den Kontrollstatus bewertet, finden Sie unter. [Bewertung des Konformitätsstatus und des Kontrollstatus](controls-overall-status.md) Es kann einige Tage nach ihrem Eintrag in diesem Protokoll dauern, bis sich Änderungen auf alle auswirken, AWS-Regionen in denen das Steuerelement verfügbar ist.

In diesem Protokoll werden Änderungen aufgezeichnet, die seit April 2023 vorgenommen wurden. Wählen Sie ein Steuerelement aus, um weitere Informationen dazu einzusehen. Titeländerungen werden 90 Tage lang in der detaillierten Beschreibung eines Steuerelements vermerkt.


| Datum der Änderung | Kontroll-ID und Titel | Beschreibung der Änderung | 
| --- | --- | --- | 
| 3. April 2026 | [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) | Dieses Steuerelement prüft, ob ein Amazon EKS-Cluster auf einer unterstützten Kubernetes-Version ausgeführt wird. Security Hub CSPM hat den Parameterwert für dieses Steuerelement von `1.32` auf geändert. `1.33` Die Standardunterstützung für Kubernetes Version 1.32 in Amazon EKS endete am 23. März 2026.  | 
| 3. April 2026 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)  | Der Lambda.2-Parameter für unterstützte Laufzeiten ist nicht mehr enthalten, ruby3.2 da Lambda diese Laufzeit als veraltet eingestuft hat. | 
| 24. März 2026 | [[RDS.50] Für RDS-DB-Cluster sollte ein ausreichender Aufbewahrungszeitraum für Backups festgelegt sein](rds-controls.md#rds-50) | Security Hub CSPM hat den Titel des Steuerelements aktualisiert, um widerzuspiegeln, dass das Steuerelement alle RDS-DB-Cluster überprüft. | 
| 24. März 2026 | [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) | Security Hub CSPM hat den Titel und die Beschreibung des Steuerelements aktualisiert, um zu verdeutlichen, dass das Steuerelement die ECS-Aufgabendefinitionen überprüft. Security Hub CSPM hat außerdem die Steuerung aktualisiert, sodass keine Ergebnisse für Aufgabendefinitionen generiert werden, die für die Angabe einer `WINDOWS_SERVER` Betriebssystemfamilie `runtimePlatform` konfiguriert sind. | 
| 9. März 2026 | [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden | Security Hub CSPM hat dieses Steuerelement zurückgezogen und es aus dem [FSBP-Standard (AWS Foundational Security Best Practices)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) entfernt. AWS AppSync bietet jetzt Standardverschlüsselung für alle aktuellen und future API-Caches. | 
| 9. März 2026 | [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden | Security Hub CSPM hat dieses Steuerelement zurückgezogen und es aus dem [FSBP-Standard (AWS Foundational Security Best Practices)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) entfernt. AWS AppSync bietet jetzt Standardverschlüsselung für alle aktuellen und future API-Caches. | 
| 4. März 2026 | [ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten | Security Hub CSPM hat dieses Steuerelement zurückgezogen und es aus dem Standard [AWS Foundational Security Best Practices (FSBP) und dem Standard](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST SP](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) 800-53 Rev. 5 entfernt.  | 
| 5. Februar 2026 | [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) | Security Hub CSPM wird diese Kontrolle abschaffen und am 9. März 2026 aus allen geltenden Security Hub CSPM-Standards streichen. AWS AppSync bietet Standardverschlüsselung für alle aktuellen und future API-Caches. | 
| 5. Februar 2026 | [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) | Security Hub CSPM wird diese Kontrolle abschaffen und am 9. März 2026 aus allen geltenden Security Hub CSPM-Standards streichen. AWS AppSync bietet Standardverschlüsselung für alle aktuellen und future API-Caches. | 
| 16. Januar 2026 | [[ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten](ecs-controls.md#ecs-1) | Security Hub CSPM hat mitgeteilt, dass diese Kontrolle nach dem 16. Februar 2026 eingestellt und aus allen geltenden Security Hub CSPM-Standards entfernt wird. | 
| 12. Januar 2026 | [[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein](redshift-controls.md#redshift-4) | Security Hub CSPM hat dieses Steuerelement aktualisiert, um den `loggingEnabled` Parameter zu entfernen. | 
| 12. Januar 2026 | [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein | Security Hub CSPM hat die Kontrolle zurückgezogen und die Kontrolle aus allen geltenden Standards entfernt. Security Hub CSPM hat die Kontrolle aufgrund der Amazon MQ MQ-Anforderungen für automatische Upgrades kleinerer Versionen eingestellt. [Bisher galt die Kontrolle für den Standard [AWS Foundational Security Best Practices (FSBP), den Standard](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[NIST SP 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) und den Standard PCI DSS v4.0.1.](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)  | 
| 12. Januar 2026 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2) | Dieses Steuerelement überprüft, ob die Laufzeiteinstellungen für eine AWS Lambda Funktion den erwarteten Werten für unterstützte Laufzeiten in jeder Sprache entsprechen. Security Hub CSPM unterstützt dieses Steuerelement jetzt `dotnet10` als Parameterwert. AWS Lambda Unterstützung für diese Laufzeit hinzugefügt. | 
| 15. Dezember 2025 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2) | Dieses Steuerelement überprüft, ob die Laufzeiteinstellungen für eine AWS Lambda Funktion den erwarteten Werten für unterstützte Laufzeiten in jeder Sprache entsprechen. Security Hub CSPM unterstützt dieses Steuerelement nicht mehr `python3.9` als Parameterwert. AWS Lambda unterstützt diese Laufzeit nicht mehr. | 
| 12. Dezember 2025 | [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) | Dieses Steuerelement prüft, ob ein Amazon EKS-Cluster auf einer unterstützten Kubernetes-Version ausgeführt wird. Security Hub CSPM hat den Parameterwert für dieses Steuerelement von `1.31` auf geändert. `1.32` Die Standardunterstützung für Kubernetes Version 1.31 in Amazon EKS endete am 26. November 2025.  | 
| 21. November 2025 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2) | Dieses Steuerelement überprüft, ob die Laufzeiteinstellungen für eine AWS Lambda Funktion den erwarteten Werten für unterstützte Laufzeiten in jeder Sprache entsprechen. Security Hub CSPM unterstützt jetzt `nodejs24.x` und `python3.14` als Parameterwerte für dieses Steuerelement. AWS Lambda Unterstützung für diese Laufzeiten hinzugefügt. | 
| 14. November 2025 | [[EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ec2-controls.md#ec2-15) | Security Hub CSPM hat die Beschreibung und Begründung für diese Kontrolle aktualisiert. Bisher überprüfte das Steuerelement mithilfe des Flags nur die automatische Zuweisung IPv4 öffentlicher IP-Adressen in Amazon VPC-Subnetzen. `MapPublicIpOnLaunch` Dieses Steuerelement prüft jetzt sowohl IPv4 die automatische Zuweisung IPv6 öffentlicher IP-Adressen als auch die automatische Zuweisung. Die Beschreibung und Begründung des Steuerelements wurden aktualisiert, um diesen Änderungen Rechnung zu tragen. | 
| 14. November 2025 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2) | Dieses Steuerelement überprüft, ob die Laufzeiteinstellungen für eine AWS Lambda Funktion den erwarteten Werten für unterstützte Laufzeiten in jeder Sprache entsprechen. Security Hub CSPM unterstützt dieses Steuerelement jetzt `java25` als Parameterwert. AWS Lambda Unterstützung für diese Laufzeit hinzugefügt. | 
| 13. November 2025 | [[SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen](sns-controls.md#sns-4) | Security Hub CSPM hat den Schweregrad dieser Kontrolle von `HIGH` auf geändert. `CRITICAL` Der öffentliche Zugriff auf Amazon SNS SNS-Themen stellt ein erhebliches Sicherheitsrisiko dar. | 
| 13. November 2025 | [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) | Security Hub CSPM hat den Schweregrad dieser Kontrolle von `HIGH` auf geändert. `CRITICAL` Der öffentliche Zugriff auf Amazon SQS SQS-Warteschlangen stellt ein erhebliches Sicherheitsrisiko dar. | 
| 13. November 2025 | [[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7) | Security Hub CSPM hat den Schweregrad dieser Kontrolle von `MEDIUM` auf geändert. `HIGH` Diese Art der Laufzeitüberwachung bietet eine verbesserte Bedrohungserkennung für Amazon EKS-Ressourcen. | 
| 13. November 2025 | [[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein](mq-controls.md#mq-3) | Security Hub CSPM hat den Schweregrad dieser Kontrolle von `LOW` auf geändert. `MEDIUM` Kleinere Versions-Upgrades beinhalten Sicherheitspatches, die für die Aufrechterhaltung der Amazon MQ-Broker-Sicherheit erforderlich sind. | 
| 13. November 2025 | [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) | Security Hub CSPM hat den Schweregrad dieser Kontrolle von `LOW` auf geändert. `MEDIUM` Softwareupdates enthalten Sicherheitspatches, die für die Aufrechterhaltung der OpenSearch Domänensicherheit erforderlich sind. | 
| 13. November 2025 | [[RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein](rds-controls.md#rds-7) | Security Hub CSPM hat den Schweregrad dieser Kontrolle von `LOW` auf geändert. `MEDIUM` Der Löschschutz trägt dazu bei, das versehentliche Löschen von Amazon RDS-Datenbanken und das Löschen von RDS-Datenbanken durch nicht autorisierte Entitäten zu verhindern. | 
| 13. November 2025 | [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) | Security Hub CSPM hat den Schweregrad dieser Kontrolle von `LOW` auf geändert. `MEDIUM` AWS CloudTrail Die Protokollierung von Daten in Amazon CloudWatch Logs kann für Prüfaktivitäten, Alarme und andere wichtige Sicherheitsoperationen verwendet werden. | 
| 13. November 2025 | [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) | Security Hub CSPM hat den Schweregrad dieser Kontrolle von `HIGH` auf geändert. `MEDIUM` Das Teilen von AWS Service Catalog Portfolios mit bestimmten Konten kann beabsichtigt sein und bedeutet nicht unbedingt, dass ein Portfolio öffentlich zugänglich ist. | 
| 13. November 2025 | [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) | Security Hub CSPM hat den Schweregrad dieser Kontrolle von `MEDIUM` auf geändert. `LOW` `cloudfront.net`Standard-Domainnamen für CloudFront Amazon-Distributionen werden nach dem Zufallsprinzip generiert, wodurch das Sicherheitsrisiko reduziert wird. | 
| 13. November 2025 | [[ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein](elb-controls.md#elb-7) | Security Hub CSPM hat den Schweregrad dieser Kontrolle von `MEDIUM` auf geändert. `LOW` In Bereitstellungen mit mehreren Instanzen können andere fehlerfreie Instances Benutzersitzungen verarbeiten, wenn eine Instanz beendet wird, ohne dass die Verbindung unterbrochen wird. Dadurch werden betriebliche Auswirkungen und Verfügbarkeitsrisiken reduziert. | 
| 13. November 2025 | [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) | Security Hub CSPM hat dieses Steuerelement aktualisiert, um den optionalen `validAdminUserNames` Parameter zu entfernen. | 
| 23. Oktober 2025 | [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) | Security Hub CSPM hat die Änderungen, die am 14. Oktober 2025 am Titel, der Beschreibung und der Regel für diese Kontrolle vorgenommen wurden, rückgängig gemacht. | 
| 22. Oktober 2025 | [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) | Security Hub CSPM hat diese Steuerung aktualisiert, sodass keine Ergebnisse für CloudFront Amazon-Distributionen generiert werden, die benutzerdefinierte Ursprünge verwenden.  | 
| 16. Oktober 2025 | [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) | Diese Kontrolle prüft, ob eine CloudFront Amazon-Distribution für die Verwendung einer empfohlenen TLS-Sicherheitsrichtlinie konfiguriert ist. Security Hub CSPM unterstützt jetzt `TLSv1.2_2025` und `TLSv1.3_2025` als Parameterwerte für dieses Steuerelement. | 
| 14. Oktober 2025 | [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) | Security Hub CSPM hat den Titel, die Beschreibung und die Regel für dieses Steuerelement geändert. [Zuvor überprüfte das Steuerelement Redis OSS-Cluster und alle Replikationsgruppen mithilfe der elasticache-redis-cluster-automatic Regel -backup-check.](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) Der Titel des Steuerelements lautete: Bei *ElastiCache (Redis OSS) -Clustern sollten* automatische Backups aktiviert sein. [Dieses Steuerelement überprüft jetzt zusätzlich zu den Redis OSS-Clustern und allen Replikationsgruppen auch Valkey-Cluster und verwendet dabei die elasticache-automatic-backup-check -enabled-Regel.](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html) Der neue Titel und die neue Beschreibung zeigen, dass das Steuerelement beide Clustertypen überprüft.  | 
| 5. Oktober 2025 | [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) | Die Regel für diese Kontrolle wurde aktualisiert, sodass auch ein `PASSED` Ergebnis generiert wird, wenn für eine Amazon OpenSearch Service-Domain keine Softwareupdates verfügbar sind und der Aktualisierungsstatus nicht berechtigt ist. Bisher generierte diese Kontrolle nur dann ein `PASSED` Ergebnis, wenn für eine OpenSearch Domain keine Softwareupdates verfügbar waren und der Aktualisierungsstatus abgeschlossen war.  | 
| 24. September 2025 | [Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden [RedshiftServerless.7] Redshift Serverless-Namespaces sollten nicht den Standard-Datenbanknamen verwenden | Security Hub CSPM hat diese Kontrollen eingestellt und sie aus allen geltenden Standards entfernt. Security Hub CSPM hat diese Kontrollen aufgrund inhärenter Amazon Redshift Redshift-Einschränkungen eingestellt, die eine effektive Behebung der `FAILED` Kontrollergebnisse verhinderten. Bisher galten die Kontrollen für den Standard [AWS Foundational Security Best Practices (FSBP) und den Standard](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) SP 800-53 Rev. 5. [Die Redshift.9-Steuerung galt auch für den Service-Managed-Standard.AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)  | 
| 9. September 2025 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2) | Dieses Steuerelement prüft, ob die Laufzeiteinstellungen für eine AWS Lambda Funktion den erwarteten Werten für unterstützte Laufzeiten in jeder Sprache entsprechen. Security Hub CSPM unterstützt dieses Steuerelement nicht mehr `nodejs18.x` als Parameterwert. AWS Lambda unterstützt nicht mehr die 18-Laufzeiten von Node.js. | 
| 13. August 2025 | [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) | Security Hub CSPM hat den Titel und die Beschreibung dieses Steuerelements geändert. Der neue Titel und die neue Beschreibung geben genauer wieder, dass das Steuerelement die Einstellung für den `EnableNetworkIsolation` Parameter der von Amazon SageMaker AI gehosteten Modelle überprüft. Zuvor lautete der Titel dieses Steuerelements: *SageMaker models should block inbound traffic*.  | 
| 13. August 2025 | [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) | Security Hub CSPM hat den Titel und die Beschreibung dieses Steuerelements geändert. Der neue Titel und die neue Beschreibung spiegeln den Umfang und die Art der Prüfung, die die Kontrolle durchführt, genauer wider. Bisher lautete der Titel dieser Kontrolle: *EFS mount targets should not be associated with a public subnet*.  | 
| 24. Juli 2025 | [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) | Dieses Steuerelement prüft, ob ein Amazon EKS-Cluster auf einer unterstützten Kubernetes-Version ausgeführt wird. Security Hub CSPM hat den Parameterwert für dieses Steuerelement von `1.30` auf geändert. `1.31` Die Standardunterstützung für Kubernetes Version 1.30 in Amazon EKS endete am 23. Juli 2025.  | 
| 23. Juli 2025 | [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) | Security Hub CSPM hat den Titel dieses Steuerelements geändert. Der neue Titel spiegelt genauer wider, dass das Steuerelement nur Amazon EC2 Spot Fleet-Anfragen überprüft, die Startparameter angeben. Zuvor lautete der Titel dieses Steuerelements: *EC2 Spot Fleet requests should enable encryption for attached EBS volumes*.  | 
| 30. Juni 2025 | [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13) | Security Hub CSPM hat dieses Steuerelement aus dem [PCI DSS](pci-standard.md) v4.0.1-Standard entfernt. PCI DSS v4.0.1 verlangt nicht ausdrücklich die Verwendung von Symbolen in Passwörtern.  | 
| 30. Juni 2025 | [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17) | Security Hub CSPM hat dieses Steuerelement aus dem Standard [NIST SP 800-171](standards-reference-nist-800-171.md) Revision 2 entfernt. NIST SP 800-171 Revision 2 verlangt nicht ausdrücklich, dass Passwörter innerhalb von 90 Tagen oder weniger ablaufen.  | 
| 30. Juni 2025 | [[RDS.16] Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren](rds-controls.md#rds-16) | Security Hub CSPM hat den Titel dieses Steuerelements geändert. Der neue Titel spiegelt genauer wider, dass das Steuerelement nur Amazon Aurora Aurora-DB-Cluster überprüft. Zuvor lautete der Titel dieses Steuerelements: *RDS DB clusters should be configured to copy tags to snapshots*. | 
| 30. Juni 2025 | [[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen](sagemaker-controls.md#sagemaker-8) | Dieses Steuerelement prüft anhand der für die Notebook-Instance angegebenen Plattform-ID, ob eine Amazon SageMaker AI-Notebook-Instance für die Ausführung auf einer unterstützten Plattform konfiguriert ist. Security Hub CSPM unterstützt `notebook-al2-v1` und nicht mehr `notebook-al2-v2` als Parameterwerte für dieses Steuerelement. Notebook-Instances, die auf diesen Plattformen laufen, haben am 30. Juni 2025 das Ende des Supports erreicht. | 
| 30. Mai 2025 | [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10) | Security Hub CSPM hat dieses Steuerelement aus dem [PCI DSS](pci-standard.md) v4.0.1-Standard entfernt. Dieses Steuerelement prüft, ob die Kontopasswortrichtlinien für IAM-Benutzer die Mindestanforderungen erfüllen, einschließlich einer Mindestkennwortlänge von 7 Zeichen. PCI DSS v4.0.1 verlangt jetzt, dass Passwörter mindestens 8 Zeichen lang sind. Die Steuerung gilt weiterhin für den Standard PCI DSS v3.2.1, für den andere Kennwortanforderungen gelten. [Um die Kennwortrichtlinien für Konten anhand der Anforderungen von PCI DSS v4.0.1 zu bewerten, können Sie das IAM.7-Steuerelement verwenden.](iam-controls.md#iam-7) Für dieses Steuerelement müssen Kennwörter mindestens 8 Zeichen lang sein. Es unterstützt auch benutzerdefinierte Werte für die Passwortlänge und andere Parameter. Die IAM.7-Steuerung ist Teil des PCI DSS v4.0.1-Standards in Security Hub CSPM.  | 
| 8. Mai 2025 | [RDS.46] RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden | Security Hub CSPM hat die Veröffentlichung des Steuerelements RDS.46 insgesamt rückgängig gemacht. AWS-Regionen Bisher unterstützte dieses Steuerelement den FSBP-Standard ( AWS Foundational Security Best Practices). | 
| 7. April 2025 | [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) | Dieses Steuerelement prüft, ob der HTTPS-Listener für einen Application Load Balancer oder der TLS-Listener für einen Network Load Balancer so konfiguriert ist, dass Daten während der Übertragung mithilfe einer empfohlenen Sicherheitsrichtlinie verschlüsselt werden. Security Hub CSPM unterstützt jetzt zwei zusätzliche Parameterwerte für dieses Steuerelement: `ELBSecurityPolicy-TLS13-1-2-Res-2021-06` und. `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` | 
| 27. März 2025 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2) | Dieses Steuerelement überprüft, ob die Laufzeiteinstellungen für eine AWS Lambda Funktion den erwarteten Werten für unterstützte Laufzeiten in jeder Sprache entsprechen. Security Hub CSPM unterstützt dieses Steuerelement jetzt `ruby3.4` als Parameterwert. AWS Lambda Unterstützung für diese Laufzeit hinzugefügt. | 
| 26. März 2025 | [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) | Dieses Steuerelement prüft, ob ein Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster auf einer unterstützten Kubernetes-Version ausgeführt wird. Für den `oldestVersionSupported` Parameter hat Security Hub CSPM den Wert von `1.29` auf geändert. `1.30` Die älteste unterstützte Kubernetes-Version ist jetzt verfügbar. `1.30` | 
| 10. März 2025 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2) | Dieses Steuerelement überprüft, ob die Laufzeiteinstellungen für eine AWS Lambda Funktion den erwarteten Werten für unterstützte Laufzeiten in jeder Sprache entsprechen. Security Hub CSPM unterstützt `dotnet6` und nicht mehr `python3.8` als Parameterwerte für dieses Steuerelement. AWS Lambda unterstützt diese Laufzeiten nicht mehr. | 
| 7. März 2025 | [[RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden](rds-controls.md#rds-18) | Security Hub CSPM hat dieses Steuerelement aus dem Standard „Best Practices für AWS grundlegende Sicherheit“ entfernt und die Überprüfung der Anforderungen von NIST SP 800-53 Rev. 5 automatisiert. Da das Amazon EC2-Classic-Netzwerk eingestellt wurde, können Amazon Relational Database Service (Amazon RDS) -Instances nicht mehr außerhalb einer VPC bereitgestellt werden. [Die Steuerung ist weiterhin Teil des Service-Managed-Standards.AWS Control Tower](service-managed-standard-aws-control-tower.md) | 
| 10. Januar 2025 | [Glue.2] Bei AWS Glue-Jobs sollte die Protokollierung aktiviert sein | Security Hub CSPM hat dieses Steuerelement zurückgezogen und es aus allen Standards entfernt. | 
| 20. Dezember 2024 | EC2.61 bis EC2.169  | Security Hub CSPM hat die Version von EC2.61 über EC2.169-Steuerungen rückgängig gemacht. | 
| 12. Dezember 2024 | [[RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden](rds-controls.md#rds-23)  | RDS.23 prüft, ob ein Amazon Relational Database Service (Amazon RDS) -Cluster oder eine Instance einen anderen Port als den Standardport der Datenbank-Engine verwendet. Wir haben das Steuerelement aktualisiert, sodass die zugrunde liegende AWS Config Regel das Ergebnis von NOT\$1APPLICABLE für RDS-Instances zurückgibt, die Teil eines Clusters sind. | 
| 2. Dezember 2024 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)  | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub CSPM unterstützt jetzt nodejs22.x als Parameter. | 
| 26. November 2024 | [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2)  | Dieses Steuerelement prüft, ob ein Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster auf einer unterstützten Kubernetes-Version ausgeführt wird. Die älteste unterstützte Version ist jetzt. 1.29 | 
| 20. November 2024 | [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)  | Config.1 prüft, ob aktiviert AWS Config ist, verwendet die serviceverknüpfte Rolle und zeichnet Ressourcen für aktivierte Steuerelemente auf. Security Hub CSPM erhöhte den Schweregrad dieser Kontrolle von `MEDIUM` auf. `CRITICAL` Security Hub CSPM fügte außerdem [neue Statuscodes und Statusgründe](controls-findings-create-update.md#control-findings-asff-compliance) für fehlgeschlagene Config.1-Ergebnisse hinzu. Diese Änderungen spiegeln die Bedeutung von Config.1 für den Betrieb der Security Hub CSPM-Steuerelemente wider. Wenn Sie die Aufzeichnung von Ressourcen deaktiviert haben AWS Config , kann es sein, dass Sie falsche Kontrollergebnisse erhalten. Um ein `PASSED` Ergebnis für Config.1 zu erhalten, aktivieren Sie die Ressourcenaufzeichnung für Ressourcen, die den aktivierten Security Hub CSPM-Steuerelementen entsprechen, und deaktivieren Sie Kontrollen, die in Ihrer Organisation nicht erforderlich sind. Anweisungen zur Konfiguration AWS Config für Security Hub CSPM finden Sie unter. [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md) Eine Liste der Security Hub CSPM-Steuerelemente und der entsprechenden Ressourcen finden Sie unter. [Erforderliche AWS Config Ressourcen für Kontrollbefunde](controls-config-resources.md) | 
| 12. November 2024 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)  | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub CSPM unterstützt jetzt python3.13 als Parameter. | 
| 11. Oktober 2024 | ElastiCache steuert  | Die Titel der Steuerelemente für ElastiCache .3, ElastiCache .4, ElastiCache .5 und ElastiCache .7 wurden geändert. In den Titeln wird Redis OSS nicht mehr erwähnt, da die Steuerelemente auch für Valkey gelten. ElastiCache  | 
| 27. September 2024 | [[ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden](elb-controls.md#elb-4)  | Der geänderte Titel des Steuerelements von Application Load Balancer sollte so konfiguriert werden, dass HTTP-Header gelöscht werden. Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden. | 
| 19. August 2024 | Der Titel ändert sich zu DMS.12 und zu den Steuerelementen ElastiCache  | Die Titel der Steuerelemente für DMS.12 und ElastiCache DMS.1 bis 1.7 wurden geändert. ElastiCache Wir haben diese Titel geändert, um einer Namensänderung im Service Amazon ElastiCache (Redis OSS) Rechnung zu tragen. | 
| 15. August 2024 | [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)  | Config.1 prüft, ob aktiviert AWS Config ist, verwendet die serviceverknüpfte Rolle und zeichnet Ressourcen für aktivierte Steuerelemente auf. Security Hub CSPM hat einen benutzerdefinierten Steuerparameter mit dem Namen hinzugefügt. includeConfigServiceLinkedRoleCheck Wenn Sie diesen Parameter auf setzenfalse, können Sie sich von der Überprüfung abmelden, ob die serviceverknüpfte AWS Config Rolle verwendet wird. | 
| 31. Juli 2024 | [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1)  | Der Titel des Steuerelements wurde von AWS IoT Core Sicherheitsprofilen sollte markiert werden zu AWS IoT Device Defender Sicherheitsprofile sollten markiert werden geändert. | 
| 29. Juli 2024 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)  | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub CSPM unterstützt nicht mehr nodejs16.x als Parameter. | 
| 29. Juli 2024 | [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2)  | Dieses Steuerelement prüft, ob ein Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster auf einer unterstützten Kubernetes-Version ausgeführt wird. Die älteste unterstützte Version ist. 1.28 | 
| 25. Juni 2024 | [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)  | Dieses Steuerelement überprüft, ob AWS Config es aktiviert ist, verwendet die dienstverknüpfte Rolle und zeichnet Ressourcen für aktivierte Steuerelemente auf. Security Hub CSPM hat den Titel der Kontrolle aktualisiert, um widerzuspiegeln, was die Kontrolle bewertet. | 
| 14. Juni 2024 | [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34)  | Diese Steuerung prüft, ob ein Amazon Aurora MySQL-DB-Cluster so konfiguriert ist, dass er Audit-Logs in Amazon CloudWatch Logs veröffentlicht. Security Hub CSPM hat das Steuerelement aktualisiert, sodass es keine Ergebnisse für Aurora Serverless v1-DB-Cluster generiert. | 
| 11. Juni 2024 | [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2)  | Dieses Steuerelement prüft, ob ein Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster auf einer unterstützten Kubernetes-Version ausgeführt wird. Die älteste unterstützte Version ist. 1.27 | 
| 10. Juni 2024 | [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)  | Dieses Steuerelement überprüft, ob aktiviert AWS Config ist und ob die AWS Config Ressourcenaufzeichnung aktiviert ist. Bisher führte das Steuerelement nur dann PASSED zu einem Ergebnis, wenn Sie die Aufzeichnung für alle Ressourcen konfiguriert hatten. Security Hub CSPM hat das Steuerelement aktualisiert, sodass ein PASSED Ergebnis angezeigt wird, wenn die Aufzeichnung für Ressourcen aktiviert ist, die für aktivierte Steuerungen erforderlich sind. Das Steuerelement wurde außerdem aktualisiert, um zu überprüfen, ob die AWS Config dienstbezogene Rolle verwendet wird, die Berechtigungen zum Aufzeichnen der erforderlichen Ressourcen bereitstellt. | 
| 8. Mai 2024 | [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20)  | Dieses Steuerelement prüft, ob bei einem versionsbasierten Amazon S3-Bucket für allgemeine Zwecke das Löschen mit Multi-Faktor-Authentifizierung (MFA) aktiviert ist. Zuvor ergab die Kontrolle einen FAILED Befund für Buckets, die über eine Lifecycle-Konfiguration verfügen. Das Löschen von MFA mit Versionierung kann jedoch nicht für einen Bucket aktiviert werden, der über eine Lifecycle-Konfiguration verfügt. Security Hub CSPM hat die Steuerung aktualisiert, sodass keine Ergebnisse für Buckets mit einer Lifecycle-Konfiguration vorliegen. Die Beschreibung des Steuerelements wurde aktualisiert, um das aktuelle Verhalten widerzuspiegeln.  | 
| 2. Mai 2024 | [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2)  | Security Hub CSPM hat die älteste unterstützte Version von Kubernetes, auf der der Amazon EKS-Cluster ausgeführt werden kann, aktualisiert, um ein bestehendes Ergebnis zu erzielen. Die derzeit älteste unterstützte Version ist Kubernetes. 1.26 | 
| 30. April 2024 | [[CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-3)  | Der Titel des Steuerelements wurde von „CloudTrail sollte aktiviert“ auf „Mindestens ein CloudTrail Trail sollte aktiviert sein“ geändert. Dieses Steuerelement zeigt derzeit PASSED an AWS-Konto , ob für mindestens ein CloudTrail Trail aktiviert ist. Der Titel und die Beschreibung wurden geändert, um das aktuelle Verhalten genau widerzuspiegeln. | 
| 29. April 2024 | [[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden](autoscaling-controls.md#autoscaling-1)  | Der Titel der Steuerung wurde von Auto Scaling Scaling-Gruppen, die einem Classic Load Balancer zugeordnet sind, sollten Load Balancer-Integritätsprüfungen verwenden, zu Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, ELB-Zustandsprüfungen verwenden. Dieses Steuerelement bewertet derzeit Anwendungs-, Gateway-, Netzwerk- und Classic Load Balancer. Der Titel und die Beschreibung wurden geändert, um das aktuelle Verhalten genau widerzuspiegeln. | 
| 19. April 2024 | [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1)  | Das Steuerelement überprüft, ob AWS CloudTrail es aktiviert und mit mindestens einem Multiregionspfad konfiguriert ist, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst. Bisher generierte das Steuerelement fälschlicherweise PASSED Ergebnisse, wenn ein Konto mit mindestens einem Multiregions-Trail CloudTrail aktiviert und konfiguriert war, auch wenn kein Trail Lese- und Schreibverwaltungsereignisse aufzeichnete. Das Steuerelement generiert jetzt nur noch PASSED Ergebnisse, wenn CloudTrail es aktiviert und mit mindestens einem multiregionalen Trail konfiguriert ist, der Verwaltungsereignisse für Lese- und Schreibvorgänge erfasst. | 
| 10. April 2024 | [Athena.1] Athena-Arbeitsgruppen sollten im Ruhezustand verschlüsselt werden  | Security Hub CSPM hat dieses Steuerelement zurückgezogen und es aus allen Standards entfernt. Athena-Arbeitsgruppen senden Protokolle an Amazon Simple Storage Service (Amazon S3) -Buckets. Amazon S3 bietet jetzt Standardverschlüsselung mit S3-verwalteten Schlüsseln (SS3-S3) für neue und bestehende S3-Buckets. | 
| 10. April 2024 | [AutoScaling.4] Die Auto Scaling Scaling-Gruppenstartkonfiguration sollte kein Metadaten-Response-Hop-Limit größer als 1 haben  | Security Hub CSPM hat dieses Steuerelement zurückgezogen und es aus allen Standards entfernt. Die Limits für Metadaten-Antwort-Hops für Amazon Elastic Compute Cloud (Amazon EC2) -Instances hängen von der Arbeitslast ab. | 
| 10. April 2024 | [CloudFormation.1] CloudFormation Stacks sollten in Simple Notification Service (SNS) integriert werden  | Security Hub CSPM hat dieses Steuerelement zurückgezogen und es aus allen Standards entfernt. Die Integration von AWS CloudFormation Stacks mit Amazon SNS SNS-Themen ist keine bewährte Sicherheitsmethode mehr. Die Integration wichtiger CloudFormation Stacks mit SNS-Themen kann zwar nützlich sein, ist aber nicht für alle Stacks erforderlich. | 
| 10. April 2024 | [CodeBuild.5] In CodeBuild Projektumgebungen sollte der privilegierte Modus nicht aktiviert sein  | Security Hub CSPM hat dieses Steuerelement zurückgezogen und es aus allen Standards entfernt. Die Aktivierung des privilegierten Modus in einem CodeBuild Projekt stellt kein zusätzliches Risiko für die Kundenumgebung dar. | 
| 10. April 2024 | [IAM.20] Vermeiden Sie die Verwendung des Root-Benutzers  | Security Hub CSPM hat dieses Steuerelement zurückgezogen und es aus allen Standards entfernt. Der Zweck dieser Kontrolle wird durch eine andere Kontrolle abgedeckt,. [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1) | 
| 10. April 2024 | [SNS.2] Die Protokollierung des Zustellungsstatus sollte für Benachrichtigungen, die an ein Thema gesendet werden, aktiviert sein  | Security Hub CSPM hat dieses Steuerelement zurückgezogen und es aus allen Standards entfernt. Das Protokollieren des Zustellungsstatus für SNS-Themen ist keine bewährte Sicherheitsmethode mehr. Das Protokollieren des Zustellungsstatus für wichtige SNS-Themen kann zwar nützlich sein, ist aber nicht für alle Themen erforderlich. | 
| 10. April 2024 | [[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-10)  | Security Hub CSPM hat dieses Steuerelement aus AWS Foundational Security Best Practices und Service-Managed Standard entfernt:. AWS Control Tower Der Zweck dieser Kontrolle wird durch zwei weitere Steuerelemente abgedeckt: und. [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) [[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein](s3-controls.md#s3-14) Diese Steuerung ist immer noch Teil von NIST SP 800-53 Rev. 5. | 
| 10. April 2024 | [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11)  | Security Hub CSPM hat dieses Steuerelement aus AWS Foundational Security Best Practices und Service-Managed Standard entfernt:. AWS Control Tower Es gibt zwar einige Fälle, in denen Ereignisbenachrichtigungen für S3-Buckets nützlich sind, dies ist jedoch keine allgemein anerkannte bewährte Sicherheitsmethode. Diese Steuerung ist immer noch Teil von NIST SP 800-53 Rev. 5. | 
| 10. April 2024 | [[SNS.1] SNS-Themen sollten im Ruhezustand wie folgt verschlüsselt werden AWS KMS](sns-controls.md#sns-1)  | Security Hub CSPM hat dieses Steuerelement aus AWS Foundational Security Best Practices und Service-Managed Standard entfernt:. AWS Control Tower Standardmäßig verschlüsselt SNS ruhende Themen mit Festplattenverschlüsselung. Weitere Informationen finden Sie unter [Datenverschlüsselung](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html). Die Verwendung AWS KMS zur Verschlüsselung von Themen wird als bewährte Sicherheitsmethode nicht mehr empfohlen. Dieses Steuerelement ist immer noch Teil von NIST SP 800-53 Rev. 5. | 
| 8. April 2024 | [[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein](elb-controls.md#elb-6)  | Der Steuerelementtitel wurde von Application Load Balancer Balancer-Löschschutz aktiviert in Application, Gateway und Network Load Balancer sollten den Löschschutz aktiviert haben geändert. Dieses Steuerelement bewertet derzeit Application, Gateway und Network Load Balancer. Der Titel und die Beschreibung wurden geändert, um das aktuelle Verhalten genau widerzuspiegeln. | 
| 22. März 2024 | [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8)  | Der Titel des Steuerelements wurde von Verbindungen zu OpenSearch Domänen sollten mit TLS 1.2 verschlüsselt werden in Verbindungen zu OpenSearch Domänen sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden geändert. Bisher überprüfte das Steuerelement nur, ob Verbindungen zu OpenSearch Domänen TLS 1.2 verwendeten. Das Steuerelement stellt nun PASSED fest, ob OpenSearch Domänen mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt wurden. Der Titel und die Beschreibung des Steuerelements wurden aktualisiert, um das aktuelle Verhalten widerzuspiegeln.  | 
| 22. März 2024 | [[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](es-controls.md#es-8)  | Der Titel des Steuerelements wurde von Connections zu Elasticsearch-Domains geändert und sollte mit TLS 1.2 verschlüsselt werden. Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden. Bisher überprüfte das Steuerelement nur, ob Verbindungen zu Elasticsearch-Domains TLS 1.2 verwendeten. Das Steuerelement stellt nun PASSED fest, ob Elasticsearch-Domains mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt wurden. Der Titel und die Beschreibung des Steuerelements wurden aktualisiert, um das aktuelle Verhalten widerzuspiegeln.  | 
| 12. März 2024 | [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)  | Der Titel sollte von der Einstellung „Öffentlichen Zugriff blockieren“ auf die Einstellung „Öffentlichen Zugriff blockieren“ in S3-Allzweck-Buckets geändert werden. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren](s3-controls.md#s3-2)  | Der geänderte Titel von S3-Buckets sollte den öffentlichen Lesezugriff auf S3-Buckets verbieten. Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren](s3-controls.md#s3-3)  | Der geänderte Titel von S3-Buckets sollte den öffentlichen Schreibzugriff auf S3-Buckets verbieten. Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)  | Die Änderung des Titels von S3-Buckets sollte Anfragen zur Verwendung von Secure Socket Layer erfordern, zu S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten](s3-controls.md#s3-6)  | Der geänderte Titel von S3-Berechtigungen, die anderen AWS-Konten in Bucket-Richtlinien gewährt wurden, sollte auf S3-Allzweck-Bucket-Richtlinien beschränkt werden, sollten den Zugriff auf andere einschränken AWS-Konten. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7)  | Bei der Änderung des Titels von S3-Buckets sollte die regionsübergreifende Replikation aktiviert sein, sodass für S3-Buckets für allgemeine Zwecke die regionsübergreifende Replikation verwendet werden sollte. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7)  | Bei der Änderung des Titels von S3-Buckets sollte die regionsübergreifende Replikation aktiviert sein, sodass für S3-Buckets für allgemeine Zwecke die regionsübergreifende Replikation verwendet werden sollte. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)  | Der Titel sollte von der Einstellung S3-Zugriff blockieren auf Bucket-Ebene zu S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](s3-controls.md#s3-9)  | Der Titel wurde von der Protokollierung des S3-Bucket-Serverzugriffs aktiviert in die Serverzugriffsprotokollierung sollte für S3-Allzweck-Buckets aktiviert sein geändert. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-10)  | Bei der Änderung des Titels von S3-Buckets mit aktivierter Versionierung sollten Lebenszyklusrichtlinien so konfiguriert sein, dass S3-Allzweck-Buckets mit aktivierter Versionierung Lifecycle-Konfigurationen haben sollten. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11)  | Bei der Änderung des Titels von S3-Buckets sollten Ereignisbenachrichtigungen aktiviert sein, bei S3-Buckets für allgemeine Zwecke sollten Ereignisbenachrichtigungen aktiviert sein. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12)  | Der geänderte Titel aus den S3-Zugriffskontrolllisten (ACLs) sollte nicht zur Verwaltung des Benutzerzugriffs auf Buckets verwendet werden. Er ACLs sollte auch nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13)  | Bei der Änderung des Titels von S3-Buckets sollten die Lebenszyklusrichtlinien so konfiguriert sein, dass S3-Allzweck-Buckets Lifecycle-Konfigurationen haben sollten. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein](s3-controls.md#s3-14)  | Bei der Änderung des Titels von S3-Buckets sollte Versionierung verwendet werden, bei S3-Buckets für allgemeine Zwecke sollte die Versionierung aktiviert sein. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein](s3-controls.md#s3-15)  | Der geänderte Titel von S3-Buckets sollte so konfiguriert werden, dass Object Lock verwendet wird. Für S3-Allzweck-Buckets sollte Object Lock aktiviert sein. Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 12. März 2024 | [[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys](s3-controls.md#s3-17)  | Der Titel wurde von S3-Buckets sollten im Ruhezustand mit AWS KMS keys verschlüsselt werden in S3-Buckets für allgemeine Zwecke geändert. AWS KMS keys Security Hub CSPM hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. | 
| 7. März 2024 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)  | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub CSPM unterstützt jetzt nodejs20.x und ruby3.3 als Parameter. | 
| 22. Februar 2024 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)  | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub CSPM unterstützt jetzt dotnet8 als Parameter. | 
| 5. Februar 2024 | [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2)  | Security Hub CSPM hat die älteste unterstützte Version von Kubernetes, auf der der Amazon EKS-Cluster ausgeführt werden kann, aktualisiert, um ein bestehendes Ergebnis zu erzielen. Die derzeit älteste unterstützte Version ist Kubernetes. 1.25  | 
| 10. Januar 2024 | [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1)  | Der geänderte Titel CodeBuild GitHub oder das Bitbucket-Quell-Repository URLs sollte in das CodeBuild Bitbucket-Quell-Repository geändert werden und URLs darf keine vertraulichen Anmeldeinformationen enthalten. OAuth Security Hub CSPM hat die Erwähnung davon entfernt OAuth , da auch andere Verbindungsmethoden sicher sein können. Security Hub CSPM hat die Erwähnung entfernt, GitHub da es nicht mehr möglich ist, ein persönliches Zugriffstoken oder einen Benutzernamen und ein Passwort im GitHub Quell-Repository zu haben. URLs | 
| 8. Januar 2024 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)  | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub CSPM unterstützt go1.x und nicht mehr java8 als Parameter, da es sich dabei um ausgemusterte Laufzeiten handelt. | 
| 29. Dezember 2023 | [[RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein](rds-controls.md#rds-8)  | RDS.8 prüft, ob für eine Amazon RDS-DB-Instance, die eine der unterstützten Datenbank-Engines verwendet, der Löschschutz aktiviert ist. Security Hub CSPM unterstützt jetzt custom-oracle-eeoracle-ee-cdb, und oracle-se2-cdb als Datenbank-Engines. | 
| 22. Dezember 2023 | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)  | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub CSPM unterstützt jetzt java21 und python3.12 als Parameter. Security Hub CSPM unterstützt nicht mehr ruby2.7 als Parameter. | 
| 15. Dezember 2023 | [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1)  | CloudFront.1 prüft, ob für eine CloudFront Amazon-Distribution ein Standard-Root-Objekt konfiguriert ist. Security Hub CSPM hat den Schweregrad dieser Kontrolle von CRITICAL auf HIGH herabgesetzt, da das Hinzufügen des Standard-Root-Objekts eine Empfehlung ist, die von der Anwendung und den spezifischen Anforderungen des Benutzers abhängt. | 
| 05. Dezember 2023  | [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13)  | Der Titel des Steuerelements wurde von Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 auf Port 22 zulassen in Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 22 zulassen geändert.  | 
| 05. Dezember 2023  | [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14)  | Der Kontrolltitel wurde von „Sicherstellen, dass keine Sicherheitsgruppen den Zugriff von 0.0.0.0/0 auf Port 3389 zulassen“ in „Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen“ geändert.  | 
| 05. Dezember 2023  | [[RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-9)  | Der Kontrolltitel wurde von Datenbankprotokollierung sollte aktiviert sein in RDS-DB-Instances geändert, sodass RDS-DB-Instances Protokolle in Logs veröffentlichen sollten. CloudWatch  Security Hub CSPM hat festgestellt, dass dieses Steuerelement nur prüft, ob Protokolle in Amazon CloudWatch Logs veröffentlicht werden, und nicht, ob RDS-Protokolle aktiviert sind. Die Steuerung stellt PASSED fest, ob RDS-DB-Instances so konfiguriert sind, dass sie Protokolle in Logs veröffentlichen. CloudWatch Der Titel des Steuerelements wurde aktualisiert, um das aktuelle Verhalten widerzuspiegeln.  | 
| 05. Dezember 2023 | [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8)  | Diese Steuerung prüft, ob bei Amazon EKS-Clustern die Auditprotokollierung aktiviert ist. Die AWS Config Regel, die Security Hub CSPM zur Auswertung dieser Kontrolle verwendet, wurde von eks-cluster-logging-enabled zu geändert. eks-cluster-log-enabled | 
| 17. November 2023  | [[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen](ec2-controls.md#ec2-19)  | EC2.19 prüft, ob uneingeschränkter eingehender Verkehr für eine Sicherheitsgruppe über die angegebenen Ports zugänglich ist, die als risikoreich eingestuft werden. Security Hub CSPM hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten. FAILED  | 
| 16. November 2023  | [[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein](cloudwatch-controls.md#cloudwatch-15)  | Der Titel des Steuerelements wurde von „CloudWatch Alarme sollte eine Aktion für den ALARM-Status konfigurieren“ zu „ CloudWatch Alarme sollten bestimmte Aktionen konfiguriert haben“ geändert.  | 
| 16. November 2023  | [[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden](cloudwatch-controls.md#cloudwatch-16)  | Der geänderte Kontrolltitel aus CloudWatch Protokollgruppen sollte mindestens ein Jahr lang aufbewahrt werden, während CloudWatch Protokollgruppen für einen bestimmten Zeitraum aufbewahrt werden sollten.  | 
| 16. November 2023  | [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5)  | Der Titel der Steuerung wurde von VPC-Lambda-Funktionen sollten in mehr als einer Availability Zone funktionieren, zu VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren.  | 
| 16. November 2023  | [[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2)  | Der Titel des Steuerelements wurde von AWS AppSync sollte die Protokollierung auf Anfrage- und Feldebene aktiviert haben in Die Protokollierung auf Feldebene sollte aktiviert sein geändert.AWS AppSync   | 
| 16. November 2023  | [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1)  | Der Kontrolltitel wurde von Amazon Elastic MapReduce Cluster-Masterknoten sollten keine öffentlichen IP-Adressen haben zu Amazon EMR-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben.  | 
| 16. November 2023  | [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2)  | Der Titel der Steuerung wurde von OpenSearch Domänen, die sich in einer VPC befinden sollten, zu OpenSearchDomänen geändert, die nicht öffentlich zugänglich sein sollten.  | 
| 16. November 2023  | [[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2)  | Der Titel des Steuerelements wurde von Elasticsearch-Domains in einer VPC geändert und Elasticsearch-Domains sollten nicht öffentlich zugänglich sein.  | 
| 31. Oktober 2023  | [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4)  | ES.4 prüft, ob Elasticsearch-Domains so konfiguriert sind, dass sie Fehlerprotokolle an Amazon CloudWatch Logs senden. Die Kontrolle ergab zuvor einen PASSED Befund für eine Elasticsearch-Domain, deren Logs so konfiguriert sind, dass sie an Logs gesendet werden. CloudWatch Security Hub CSPM hat das Steuerelement aktualisiert, sodass nur ein PASSED Ergebnis für eine Elasticsearch-Domain generiert wird, die so konfiguriert ist, dass sie Fehlerprotokolle an Logs sendet. CloudWatch Das Steuerelement wurde außerdem aktualisiert, um Elasticsearch-Versionen, die Fehlerprotokolle nicht unterstützen, von der Auswertung auszuschließen.  | 
| 16. Oktober 2023  | [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13)  | EC2.13 prüft, ob Sicherheitsgruppen uneingeschränkten Eingangszugriff auf Port 22 zulassen. Security Hub CSPM hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten. FAILED  | 
| 16. Oktober 2023  | [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14)  | EC2.14 prüft, ob Sicherheitsgruppen uneingeschränkten Eingangszugriff auf Port 3389 zulassen. Security Hub CSPM hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten. FAILED  | 
| 16. Oktober 2023  | [[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen](ec2-controls.md#ec2-18)  | EC2.18 prüft, ob die verwendeten Sicherheitsgruppen uneingeschränkten eingehenden Verkehr zulassen. Security Hub CSPM hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten. FAILED  | 
| 16. Oktober 2023  | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)  | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub CSPM unterstützt jetzt python3.11 als Parameter.  | 
| 04. Oktober 2023  | [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7)  | Security Hub CSPM hat den Parameter ReplicationType mit dem Wert von hinzugefügt, CROSS-REGION um sicherzustellen, dass bei S3-Buckets die regionsübergreifende Replikation aktiviert ist und nicht die Replikation derselben Region.  | 
| 27. September 2023  | [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2)  | Security Hub CSPM hat die älteste unterstützte Version von Kubernetes, auf der der Amazon EKS-Cluster ausgeführt werden kann, aktualisiert, um ein bestehendes Ergebnis zu erzielen. Die derzeit älteste unterstützte Version ist Kubernetes. 1.24  | 
| 20. September 2023  | [CloudFront.2] Bei CloudFront Distributionen sollte die Origin-Zugriffsidentität aktiviert sein  | Security Hub CSPM hat dieses Steuerelement zurückgezogen und es aus allen Standards entfernt. Folgen Sie stattdessen der Anleitung unter [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13). Die Zugriffskontrolle von Origin ist derzeit die bewährte Methode im Bereich Sicherheit. Diese Kontrolle wird innerhalb von 90 Tagen aus der Dokumentation entfernt. | 
| 20. September 2023  | [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22)  | Security Hub CSPM hat dieses Steuerelement aus AWS Foundational Security Best Practices (FSBP) und SP 800-53 Rev. 5 des National Institute of Standards and Technology (NIST) entfernt. Es ist immer noch Teil des Service-Managed Standard:. AWS Control Tower Dieses Steuerelement führt zu einer bestandenen Feststellung, ob Sicherheitsgruppen an EC2-Instances oder an eine elastic network interface angehängt sind. In bestimmten Anwendungsfällen stellen nicht verknüpfte Sicherheitsgruppen jedoch kein Sicherheitsrisiko dar. Sie können andere EC2-Steuerelemente wie EC2.2, EC2.13, EC2.14, EC2.18 und EC2.19 verwenden, um Ihre Sicherheitsgruppen zu überwachen.  | 
| 20. September 2023  | [EC2.29] EC2-Instances sollten in einer VPC gestartet werden  | Security Hub CSPM hat dieses Steuerelement zurückgezogen und es aus allen Standards entfernt. Amazon EC2 hat EC2-Classic-Instances zu einer VPC migriert. Diese Kontrolle wird in 90 Tagen aus der Dokumentation entfernt. | 
| 20. September 2023  | [S3.4] Für S3-Buckets sollte die serverseitige Verschlüsselung aktiviert sein.  | Security Hub CSPM hat dieses Steuerelement zurückgezogen und es aus allen Standards entfernt. Amazon S3 bietet jetzt Standardverschlüsselung mit S3-verwalteten Schlüsseln (SS3-S3) für neue und bestehende S3-Buckets. Die Verschlüsselungseinstellungen für bestehende Buckets, die mit der serverseitigen Verschlüsselung SS3 -S3 oder SS3 -KMS verschlüsselt sind, bleiben unverändert. Dieses Steuerelement wird in 90 Tagen aus der Dokumentation entfernt.  | 
| 14. September 2023  | [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2)  | Der Titel des Steuerelements wurde von Die VPC-Standardsicherheitsgruppe sollte keinen eingehenden und ausgehenden Datenverkehr zulassen zu VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen geändert.  | 
| 14. September 2023  | [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)  | Der Steuertitel wurde von Virtual MFA sollte für den Root-Benutzer aktiviert sein zu MFA sollte für den Root-Benutzer aktiviert sein geändert.  | 
|  14. September 2023  | [[RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden](rds-controls.md#rds-19)  | Der Titel des Steuerelements wurde von Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Clusterereignisse konfiguriert werden in Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Clusterereignisse konfiguriert werden geändert.  | 
| 14. September 2023  | [[RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden](rds-controls.md#rds-20)  | Der Titel des Steuerelements wurde von Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankinstanzereignisse konfiguriert werden in Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Datenbankinstanzereignisse konfiguriert werden geändert.  | 
| 14. September 2023  | [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2)  | Der Kontrolltitel wurde von „Eine WAF-Regionalregel sollte mindestens eine Bedingung haben“ in „AWS WAF Klassische Regionalregeln“ geändert, die mindestens eine Bedingung haben sollten.  | 
| 14. September 2023  | [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3)  | Der Kontrolltitel wurde von einer regionalen WAF-Regelgruppe sollte mindestens eine Regel enthalten zu einer AWS WAF  klassischen regionalen Regelgruppe geändert, die mindestens eine Regel haben sollte.  | 
| 14. September 2023  | [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4)  | Der Kontrolltitel wurde von A WAF Regional Web ACL sollte mindestens eine Regel oder Regelgruppe enthalten in AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe haben geändert.  | 
| 14. September 2023  | [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6)  | Der Titel des Steuerelements wurde von „Eine globale WAF-Regel sollte mindestens eine Bedingung haben“ zu „AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben“ geändert.  | 
| 14. September 2023  | [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7)  | Der Titel des Steuerelements wurde von „Eine globale WAF-Regelgruppe sollte mindestens eine Regel haben“ zu „AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben“ geändert.  | 
| 14. September 2023  | [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8)  | Der Steuerelementtitel wurde von Eine globale WAF-Web-ACL sollte mindestens eine Regel oder Regelgruppe haben zu AWS WAF Classic Global Web ACLs sollte mindestens eine Regel oder Regelgruppe haben geändert.  | 
| 14. September 2023  | [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10)  | Der Titel des Steuerelements wurde von Eine WAFv2 Web-ACL sollte mindestens eine Regel oder Regelgruppe haben zu AWS WAF Web ACLs sollte mindestens eine Regel oder Regelgruppe haben geändert.  | 
| 14. September 2023  | [[WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-11)  | Der Titel des Steuerelements AWS WAF wurde von Version 2 geändert, die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein.  | 
|  20. Juli 2023  | [S3.4] Für S3-Buckets sollte die serverseitige Verschlüsselung aktiviert sein.  | S3.4 prüft, ob für einen Amazon S3 S3-Bucket entweder die serverseitige Verschlüsselung aktiviert ist oder ob die S3-Bucket-Richtlinie PutObject Anfragen ohne serverseitige Verschlüsselung explizit ablehnt. Security Hub CSPM hat diese Steuerung aktualisiert und umfasst nun eine serverseitige Dual-Layer-Verschlüsselung mit KMS-Schlüsseln (DSSE-KMS). Das Steuerelement erzeugt einen erfolgreichen Befund, wenn ein S3-Bucket mit SSE-S3, SSE-KMS oder DSSE-KMS verschlüsselt ist.  | 
| 17. Juli 2023  | [[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys](s3-controls.md#s3-17)  | S3.17 prüft, ob ein Amazon S3 S3-Bucket mit einem verschlüsselt ist. AWS KMS key Security Hub CSPM hat diese Steuerung aktualisiert und umfasst nun eine serverseitige Dual-Layer-Verschlüsselung mit KMS-Schlüsseln (DSSE-KMS). Wenn ein S3-Bucket mit SSE-KMS oder DSSE-KMS verschlüsselt ist, führt das Steuerelement zu einem erfolgreichen Ergebnis.  | 
| 9. Juni 2023  | [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2)  | EKS.2 prüft, ob ein Amazon EKS-Cluster auf einer unterstützten Kubernetes-Version läuft. Die älteste unterstützte Version ist jetzt. 1.23  | 
| 9. Juni 2023  | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)  | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub CSPM unterstützt jetzt ruby3.2 als Parameter.  | 
| 5. Juni 2023  | [[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden](apigateway-controls.md#apigateway-5)  | APIGateway.5.prüft, ob alle Methoden in den REST-API-Stufen von Amazon API Gateway im Ruhezustand verschlüsselt sind. Security Hub CSPM hat das Steuerelement aktualisiert, sodass die Verschlüsselung einer bestimmten Methode nur ausgewertet wird, wenn das Caching für diese Methode aktiviert ist.  | 
| 18. Mai 2023  | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)  | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub CSPM unterstützt jetzt java17 als Parameter.  | 
| 18. Mai 2023  | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)  | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub CSPM unterstützt nicht mehr nodejs12.x als Parameter.  | 
| 23. April 2023  | [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10)  | ECS.10 prüft, ob die Amazon ECS Fargate-Dienste die neueste Fargate-Plattformversion ausführen. Kunden können Amazon ECS direkt über ECS oder mithilfe von ECS bereitstellen CodeDeploy. Security Hub CSPM hat dieses Steuerelement aktualisiert, sodass es bei der Bereitstellung von ECS CodeDeploy Fargate-Diensten die Ergebnisse bestanden hat.  | 
| 20. April 2023  | [[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten](s3-controls.md#s3-6)  | S3.6 prüft, ob eine Bucket-Richtlinie von Amazon Simple Storage Service (Amazon S3) verhindert, dass Prinzipale AWS-Konten anderer Benutzer verweigerte Aktionen für Ressourcen im S3-Bucket ausführen. Security Hub CSPM hat die Steuerung aktualisiert, um Bedingungen in einer Bucket-Richtlinie zu berücksichtigen.  | 
| 18. April 2023  | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)  | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub CSPM unterstützt jetzt python3.10 als Parameter. | 
| 18. April 2023  | [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)  | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub CSPM unterstützt nicht mehr dotnetcore3.1 als Parameter. | 
| 17. April 2023  | [[RDS.11] Bei RDS-Instances sollten automatische Backups aktiviert sein](rds-controls.md#rds-11)  | RDS.11 prüft, ob für Amazon RDS-Instances automatische Backups aktiviert sind, wobei die Aufbewahrungsdauer für Backups mindestens sieben Tage beträgt. Security Hub CSPM hat diese Kontrolle aktualisiert, um Read Replicas von der Evaluierung auszuschließen, da nicht alle Engines automatische Backups auf Read Replicas unterstützen. Darüber hinaus bietet RDS nicht die Möglichkeit, bei der Erstellung von Read Replicas einen Aufbewahrungszeitraum für Backups anzugeben. Read Replicas werden standardmäßig mit einer Aufbewahrungsdauer für Backups erstellt. 0  | 

# Security Hub CSPM-Steuerungen für AWS-Konten
<a name="account-controls"></a>

Diese Security Hub CSPM-Steuerungen werden ausgewertet. AWS-Konten

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto
<a name="account-1"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/1.2, NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

**Kategorie**: Identifizieren > Ressourcenkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html](https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Diese Kontrolle prüft, ob ein Amazon Web Services (AWS) -Konto Sicherheitskontaktinformationen enthält. Die Kontrolle schlägt fehl, wenn keine Sicherheitskontaktinformationen für das Konto bereitgestellt werden.

Alternative Sicherheitskontakte AWS ermöglichen es, eine andere Person bei Problemen mit Ihrem Konto zu kontaktieren, falls Sie nicht verfügbar sind. Benachrichtigungen können von Support oder anderen AWS-Service Teams zu sicherheitsrelevanten Themen im Zusammenhang mit Ihrer AWS-Konto Nutzung stammen.

### Abhilfe
<a name="account-1-remediation"></a>

Informationen zum Hinzufügen eines alternativen Kontakts als Sicherheitskontakt zu Ihrem AWS-Konto Ansprechpartner finden Sie unter [Aktualisieren der alternativen Kontakte für Sie AWS-Konto](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) im *Referenzhandbuch zur AWS Kontoverwaltung.*

## [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations
<a name="account-2"></a>

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Diese Kontrolle prüft, ob ein Teil einer Organisation AWS-Konto ist, die über verwaltet wird AWS Organizations. Die Kontrolle schlägt fehl, wenn das Konto nicht Teil einer Organisation ist.

Organizations hilft Ihnen dabei, Ihre Umgebung zentral zu verwalten, während Sie Ihre Workloads skalieren. AWS Sie können mehrere verwenden AWS-Konten , um Workloads zu isolieren, für die bestimmte Sicherheitsanforderungen gelten, oder um Frameworks wie HIPAA oder PCI einzuhalten. Durch die Gründung einer Organisation können Sie mehrere Konten als eine einzige Einheit verwalten und deren Zugriff AWS-Services, Ressourcen und Regionen zentral verwalten.

### Abhilfe
<a name="account-2-remediation"></a>

Informationen zum Erstellen einer neuen Organisation und AWS-Konten zum automatischen Hinzufügen finden Sie unter [Organisation erstellen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) im *AWS Organizations Benutzerhandbuch*. Informationen zum Hinzufügen von Konten zu einer bestehenden Organisation finden Sie im *AWS Organizations Benutzerhandbuch* unter [Einladen einer AWS-Konto Person, Ihrer Organisation beizutreten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).

# Security Hub CSPM-Steuerungen für AWS Amplify
<a name="amplify-controls"></a>

Diese Security Hub CSPM-Steuerungen bewerten den AWS Amplify Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Amplify.1] Amplify-Apps sollten markiert werden
<a name="amplify-1"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Amplify::App`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob eine AWS Amplify App über die im `requiredKeyTags` Parameter angegebenen Tag-Schlüssel verfügt. Das Steuerelement schlägt fehl, wenn die App keine Tag-Schlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die App keine Tagschlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="amplify-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer AWS Amplify App finden Sie unter [Unterstützung für Ressourcen-Tagging](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) im *AWS Amplify Hosting-Benutzerhandbuch*.

## [Amplify.2] Amplify-Zweige sollten markiert werden
<a name="amplify-2"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Amplify::Branch`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob ein AWS Amplify Zweig über die im `requiredKeyTags` Parameter angegebenen Tagschlüssel verfügt. Das Steuerelement schlägt fehl, wenn der Zweig keine Tagschlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Zweig keine Tagschlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="amplify-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS Amplify Branch finden Sie unter [Resource Tagging Support](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) im *AWS Amplify Hosting-Benutzerhandbuch*.

# Security Hub CSPM-Steuerelemente für Amazon API Gateway
<a name="apigateway-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon API Gateway. Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein
<a name="apigateway-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

`AWS::ApiGateway::Stage`Ressourcentyp**:**, `AWS::ApiGatewayV2::Stage`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)

**Zeitplantyp:** Änderung ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `loggingLevel`  |  Protokollierungsstufe  |  Enum  |  `ERROR`, `INFO`  |  `No default value`  | 

Dieses Steuerelement prüft, ob in allen Phasen einer Amazon API Gateway Gateway-REST- oder WebSocket API-Phase die Protokollierung aktiviert ist. Die Kontrolle schlägt fehl, wenn `loggingLevel` nicht `ERROR` oder `INFO` für alle Stufen der API. Sofern Sie keine benutzerdefinierten Parameterwerte angeben, um anzugeben, dass ein bestimmter Protokolltyp aktiviert werden soll, erzeugt Security Hub CSPM eine erfolgreiche Feststellung, wenn die Protokollierungsebene entweder oder `ERROR` ist. `INFO`

Für API Gateway REST- oder WebSocket API-Stufen sollten die entsprechenden Protokolle aktiviert sein. Die REST- und WebSocket API-Ausführungsprotokollierung von API Gateway bietet detaillierte Aufzeichnungen der Anfragen, die an die REST- und API-Stufen von WebSocket API Gateway gestellt wurden. Die Phasen umfassen Backend-Antworten zur API-Integration, Antworten des Lambda-Autorisierers und die `requestId` For-Integrationsendpunkte. AWS 

### Abhilfe
<a name="apigateway-1-remediation"></a>

Informationen zum Aktivieren der Protokollierung für REST- und WebSocket API-Operationen finden Sie unter [ CloudWatch API-Protokollierung mithilfe der API-Gateway-Konsole einrichten](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) im *API Gateway Developer Guide*.

## [APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden
<a name="apigateway-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ApiGateway::Stage`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für die REST-API-Stufen von Amazon API Gateway SSL-Zertifikate konfiguriert sind. Backend-Systeme verwenden diese Zertifikate, um zu authentifizieren, dass eingehende Anfragen von API Gateway stammen.

API Gateway REST API-Stufen sollten mit SSL-Zertifikaten konfiguriert werden, damit Backend-Systeme authentifizieren können, dass Anfragen von API Gateway stammen.

### Abhilfe
<a name="apigateway-2-remediation"></a>

Detaillierte Anweisungen zum Generieren und Konfigurieren von API Gateway REST API-SSL-Zertifikaten finden Sie unter [Generieren und Konfigurieren eines SSL-Zertifikats für die Backend-Authentifizierung](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html) im *API Gateway Developer Guide*.

## [APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein
<a name="apigateway-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-7

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::ApiGateway::Stage`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob AWS X-Ray Active Tracing für Ihre Amazon API Gateway Gateway-REST-API-Stufen aktiviert ist.

Active Tracing mit X-Ray ermöglicht eine schnellere Reaktion auf Leistungsänderungen in der zugrunde liegenden Infrastruktur. Leistungsänderungen können zu einer mangelnden Verfügbarkeit der API führen. X-Ray Active Tracing bietet Echtzeit-Metriken zu Benutzeranfragen, die über Ihre API-Gateway-REST-API-Operationen und verbundenen Dienste fließen.

### Abhilfe
<a name="apigateway-3-remediation"></a>

Ausführliche Anweisungen zur Aktivierung von X-Ray Active Tracing für API Gateway REST-API-Operationen finden Sie unter [Amazon API Gateway Active Tracing Support for AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html) im *AWS X-Ray Developer* Guide. 

## [APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein
<a name="apigateway-4"></a>

**Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21**)

**Kategorie:** Schützen > Schutzdienste

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ApiGateway::Stage`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein API-Gateway-Schritt eine AWS WAF Web Access Control List (ACL) verwendet. Dieses Steuerelement schlägt fehl, wenn keine AWS WAF Web-ACL an eine REST-API-Gateway-Stufe angehängt ist.

AWS WAF ist eine Firewall für Webanwendungen, die zum Schutz von Webanwendungen und APIs vor Angriffen beiträgt. Damit können Sie eine ACL konfigurieren. Dabei handelt es sich um eine Reihe von Regeln, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre API-Gateway-Stufe mit einer AWS WAF Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen.

### Abhilfe
<a name="apigateway-4-remediation"></a>

Informationen dazu, wie Sie die API Gateway-Konsole verwenden, um eine AWS WAF regionale Web-ACL einer vorhandenen API-Gateway-API-Stufe zuzuordnen, finden Sie [unter AWS WAF Using to protect your APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) im *API Gateway Developer Guide*.

## [APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden
<a name="apigateway-5"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategorie:** Schutz > Datenschutz > Verschlüsselung von Daten im Ruhezustand

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ApiGateway::Stage`

**AWS Config Regel:** `api-gw-cache-encrypted` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob alle Methoden in API Gateway REST API-Stufen, für die der Cache aktiviert ist, verschlüsselt sind. Die Steuerung schlägt fehl, wenn eine Methode in einer API-Gateway-REST-API-Stufe für den Cache konfiguriert ist und der Cache nicht verschlüsselt ist. Security Hub CSPM bewertet die Verschlüsselung einer bestimmten Methode nur, wenn das Caching für diese Methode aktiviert ist.

Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass auf Daten, die auf der Festplatte gespeichert sind, von einem Benutzer zugegriffen wird, für den kein Benutzer authentifiziert ist. AWS Es fügt weitere Zugriffskontrollen hinzu, um den Zugriff unberechtigter Benutzer auf die Daten einzuschränken. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können.

API-Gateway-REST-API-Caches sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten.

### Abhilfe
<a name="apigateway-5-remediation"></a>

Informationen zur Konfiguration von API-Caching für eine Phase finden Sie unter [Amazon API Gateway Gateway-Caching aktivieren](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching) im *API Gateway Developer Guide*. Wählen Sie in **den Cache-Einstellungen** die Option **Cache-Daten verschlüsseln** aus.

## [APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben
<a name="apigateway-8"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-3, NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

**Kategorie**: Schützen > Sicheres Zugriffsmanagement

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ApiGatewayV2::Route`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `authorizationType`  |  Autorisierungstyp der API-Routen  |  Enum  |  `AWS_IAM`, `CUSTOM`, `JWT`  |  Kein Standardwert  | 

Diese Kontrolle prüft, ob Amazon API Gateway Gateway-Routen einen Autorisierungstyp haben. Die Steuerung schlägt fehl, wenn die API-Gateway-Route keinen Autorisierungstyp hat. Optional können Sie einen benutzerdefinierten Parameterwert angeben, wenn das Steuerelement nur dann übergeben werden soll, wenn die Route den im `authorizationType` Parameter angegebenen Autorisierungstyp verwendet.

API Gateway unterstützt mehrere Mechanismen zur Steuerung und Verwaltung des Zugriffs auf Ihre API. Durch die Angabe eines Autorisierungstyps können Sie den Zugriff auf Ihre API auf autorisierte Benutzer oder Prozesse beschränken.

### Abhilfe
<a name="apigateway-8-remediation"></a>

Informationen zum Festlegen eines Autorisierungstyps für HTTP APIs finden Sie unter [Steuern und Verwalten des Zugriffs auf eine HTTP-API in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html) im *API Gateway Developer Guide*. Informationen zum Festlegen eines Autorisierungstyps für WebSocket APIs finden Sie unter [Steuern und Verwalten des Zugriffs auf eine WebSocket API in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html) im *API Gateway Developer Guide*.

## [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein
<a name="apigateway-9"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ApiGatewayV2::Stage`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob die Amazon API Gateway V2-Stufen die Zugriffsprotokollierung konfiguriert haben. Diese Kontrolle schlägt fehl, wenn die Einstellungen für das Zugriffsprotokoll nicht definiert sind.

API Gateway Gateway-Zugriffsprotokolle enthalten detaillierte Informationen darüber, wer auf Ihre API zugegriffen hat und wie der Anrufer auf die API zugegriffen hat. Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsprüfungen sowie forensische Untersuchungen nützlich. Aktivieren Sie diese Zugriffsprotokolle, um Verkehrsmuster zu analysieren und Probleme zu beheben.

Weitere bewährte Methoden finden Sie unter [Monitoring REST APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html) im *API Gateway Developer Guide*.

### Abhilfe
<a name="apigateway-9-remediation"></a>

Informationen zum Einrichten der Zugriffsprotokollierung finden Sie unter [ CloudWatch API-Protokollierung mithilfe der API-Gateway-Konsole einrichten](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) im *API Gateway Developer Guide*. 

## [APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden
<a name="apigateway-10"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ApiGatewayV2::Integration`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob bei einer API Gateway V2-Integration HTTPS für private Verbindungen aktiviert ist. Die Steuerung schlägt fehl, wenn für eine private Verbindung kein TLS konfiguriert ist.

VPC-Links verbinden API Gateway mit privaten Ressourcen. VPC-Links stellen zwar private Konnektivität her, verschlüsseln Daten jedoch nicht von Natur aus. Durch die Konfiguration von TLS wird die Verwendung von HTTPS für die end-to-end Verschlüsselung vom Client über das API Gateway bis zum Backend sichergestellt. Ohne TLS fließt sensibler API-Verkehr unverschlüsselt über private Verbindungen. Die HTTPS-Verschlüsselung schützt den Datenverkehr über private Verbindungen vor dem Abfangen von Daten, man-in-the-middle Angriffen und der Offenlegung von Anmeldeinformationen. 

### Abhilfe
<a name="apigateway-10-remediation"></a>

Informationen zum Aktivieren der Verschlüsselung während der Übertragung für private Verbindungen in einer API Gateway v2-Integration finden Sie unter [Aktualisieren einer privaten Integration](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update) im *Amazon API Gateway Developer Guide*. Konfigurieren Sie die [TLS-Konfiguration](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig) so, dass die private Integration das HTTPS-Protokoll verwendet.

# Security Hub CSPM-Steuerungen für AWS AppConfig
<a name="appconfig-controls"></a>

Diese Security Hub CSPM-Steuerungen bewerten den AWS AppConfig Service und die Ressourcen.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden
<a name="appconfig-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::AppConfig::Application`

**AWS Config -Regel: ** `appconfig-application-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine AWS AppConfig Anwendung über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredKeyTags` definiert sind. Das Steuerelement schlägt fehl, wenn die Anwendung keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Anwendung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="appconfig-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer AWS AppConfig Anwendung finden Sie [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)in der *AWS AppConfig API-Referenz*.

## [AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden
<a name="appconfig-2"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::AppConfig::ConfigurationProfile`

**AWS Config -Regel: ** `appconfig-configuration-profile-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS AppConfig Konfigurationsprofil Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredKeyTags` definiert sind. Das Steuerelement schlägt fehl, wenn das Konfigurationsprofil keine Tagschlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel enthält`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Konfigurationsprofil mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="appconfig-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS AppConfig Konfigurationsprofil finden Sie [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)in der *AWS AppConfig API-Referenz*.

## [AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden
<a name="appconfig-3"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::AppConfig::Environment`

**AWS Config -Regel: ** `appconfig-environment-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine AWS AppConfig Umgebung über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredKeyTags` definiert sind. Das Steuerelement schlägt fehl, wenn die Umgebung keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Umgebung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="appconfig-3-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer AWS AppConfig Umgebung finden Sie [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)in der *AWS AppConfig API-Referenz*.

## [AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten markiert werden
<a name="appconfig-4"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::AppConfig::ExtensionAssociation`

**AWS Config -Regel: ** `appconfig-extension-association-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine AWS AppConfig Erweiterungsassoziation Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredKeyTags` definiert sind. Das Steuerelement schlägt fehl, wenn die Erweiterungszuordnung keine Tagschlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Erweiterungsverknüpfung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="appconfig-4-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer AWS AppConfig Erweiterungsverknüpfung finden Sie [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)in der *AWS AppConfig API-Referenz*.

# Security Hub CSPM-Steuerungen für Amazon AppFlow
<a name="appflow-controls"></a>

Diese Security Hub CSPM-Kontrollen bewerten den AppFlow Service und die Ressourcen von Amazon.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden
<a name="appflow-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::AppFlow::Flow`

**AWS Config -Regel: ** `appflow-flow-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AppFlow Amazon-Flow Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredKeyTags`. Die Steuerung schlägt fehl, wenn der Flow keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthält`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Flow mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="appflow-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AppFlow Amazon-Flow finden Sie unter [Erstellen von Flows AppFlow in Amazon](https://docs.aws.amazon.com/appflow/latest/userguide/flows-manage.html) *im AppFlow Amazon-Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für AWS App Runner
<a name="apprunner-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS App Runner Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [AppRunner.1] App Runner-Dienste sollten markiert sein
<a name="apprunner-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::AppRunner::Service`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS App Runner Service über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredKeyTags` definiert sind. Das Steuerelement schlägt fehl, wenn der App Runner-Dienst keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der App Runner-Dienst mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="apprunner-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS App Runner Service finden Sie [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)in der *AWS App Runner API-Referenz*.

## [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein
<a name="apprunner-2"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::AppRunner::VpcConnector`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS App Runner VPC-Connector Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredKeyTags` definiert sind. Die Steuerung schlägt fehl, wenn der VPC-Connector keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter `requiredKeyTags` angegebenen Schlüssel hat. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der VPC-Connector mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="apprunner-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS App Runner VPC-Connector finden Sie [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)in der *AWS App Runner API-Referenz.*

# Security Hub CSPM-Steuerungen für AWS AppSync
<a name="appsync-controls"></a>

Diese Security Hub CSPM-Steuerungen bewerten den AWS AppSync Service und die Ressourcen.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden
<a name="appsync-1"></a>

**Wichtig**  
Security Hub CSPM hat diese Kontrolle am 9. März 2026 eingestellt. Weitere Informationen finden Sie unter. [Änderungsprotokoll für Security Hub CSPM-Steuerelemente](controls-change-log.md) AWS AppSync bietet jetzt Standardverschlüsselung für alle aktuellen und future API-Caches.

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::AppSync::GraphQLApi`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein AWS AppSync API-Cache im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn der API-Cache im Ruhezustand nicht verschlüsselt ist.

Daten im Ruhezustand beziehen sich auf Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch die Verschlüsselung ruhender Daten können Sie deren Vertraulichkeit schützen, wodurch das Risiko verringert wird, dass ein nicht autorisierter Benutzer darauf zugreifen kann.

### Abhilfe
<a name="appsync-1-remediation"></a>

Sie können die Verschlüsselungseinstellungen nicht mehr ändern, nachdem Sie das Caching für Ihre AWS AppSync API aktiviert haben. Stattdessen müssen Sie den Cache löschen und ihn mit aktivierter Verschlüsselung neu erstellen. Weitere Informationen finden Sie unter [Cache-Verschlüsselung](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) im *AWS AppSync Entwicklerhandbuch*.

## [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben
<a name="appsync-2"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/10.4.2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::AppSync::GraphQLApi`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** 


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `fieldLoggingLevel`  |  Ebene der Feldprotokollierung  |  Enum  |  `ERROR`, `ALL`, `INFO`, `DEBUG`  |  `No default value`  | 

Dieses Steuerelement prüft, ob für eine AWS AppSync API die Protokollierung auf Feldebene aktiviert ist. **Das Steuerelement schlägt fehl, wenn die Protokollebene des Field Resolvers auf Keine gesetzt ist.** Sofern Sie keine benutzerdefinierten Parameterwerte angeben, um anzugeben, dass ein bestimmter Protokolltyp aktiviert werden soll, erzeugt Security Hub CSPM einen erfolgreichen Befund, wenn die Protokollebene des Feldauflösers entweder oder ist. `ERROR` `ALL`

Sie können die Protokollierung und Metriken verwenden, um Ihre GraphQL-Abfragen zu identifizieren, Fehler darin zu beheben und sie zu optimieren. Wenn Sie die Protokollierung für AWS AppSync GraphQL aktivieren, erhalten Sie detaillierte Informationen zu API-Anfragen und -Antworten, können Probleme identifizieren und darauf reagieren und gesetzliche Anforderungen erfüllen.

### Abhilfe
<a name="appsync-2-remediation"></a>

Informationen zum Aktivieren der Protokollierung für AWS AppSync finden Sie unter [Einrichtung und Konfiguration](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration) im *AWS AppSync Entwicklerhandbuch*.

## [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein
<a name="appsync-4"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::AppSync::GraphQLApi`

**AWS Config Regel:** `tagged-appsync-graphqlapi` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine AWS AppSync GraphQL-API Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn die GraphQL-API keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die GraphQL-API mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="appsync-4-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer AWS AppSync GraphQL-API finden Sie [https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)in der *AWS AppSync API-Referenz.*

## [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden
<a name="appsync-5"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::AppSync::GraphQLApi`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `AllowedAuthorizationTypes`: ` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS` (nicht anpassbar)

Dieses Steuerelement prüft, ob Ihre Anwendung einen API-Schlüssel verwendet, um mit einer AWS AppSync GraphQL-API zu interagieren. Die Steuerung schlägt fehl, wenn eine AWS AppSync GraphQL-API mit einem API-Schlüssel authentifiziert wird.

Ein API-Schlüssel ist ein fest codierter Wert in Ihrer Anwendung, der vom AWS AppSync Dienst generiert wird, wenn Sie einen nicht authentifizierten GraphQL-Endpunkt erstellen. Wenn dieser API-Schlüssel kompromittiert ist, ist Ihr Endpunkt anfällig für unbeabsichtigten Zugriff. Sofern Sie keine öffentlich zugängliche Anwendung oder Website unterstützen, empfehlen wir nicht, einen API-Schlüssel zur Authentifizierung zu verwenden.

### Abhilfe
<a name="appsync-5-remediation"></a>

Informationen zum Einrichten einer Autorisierungsoption für Ihre AWS AppSync GraphQL-API finden Sie unter [Autorisierung und Authentifizierung](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html) im *AWS AppSync Entwicklerhandbuch*.

## [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden
<a name="appsync-6"></a>

**Wichtig**  
Security Hub CSPM hat diese Kontrolle am 9. März 2026 eingestellt. Weitere Informationen finden Sie unter. [Änderungsprotokoll für Security Hub CSPM-Steuerelemente](controls-change-log.md) AWS AppSync bietet jetzt Standardverschlüsselung für alle aktuellen und future API-Caches.

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::AppSync::ApiCache`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein AWS AppSync API-Cache während der Übertragung verschlüsselt ist. Die Steuerung schlägt fehl, wenn der API-Cache bei der Übertragung nicht verschlüsselt wird.

Daten während der Übertragung beziehen sich auf Daten, die von einem Ort an einen anderen übertragen werden, z. B. zwischen Knoten in Ihrem Cluster oder zwischen Ihrem Cluster und Ihrer Anwendung. Daten können über das Internet oder innerhalb eines privaten Netzwerks übertragen werden. Durch die Verschlüsselung von Daten während der Übertragung wird das Risiko verringert, dass ein nicht autorisierter Benutzer den Netzwerkverkehr abhören kann.

### Abhilfe
<a name="appsync-6-remediation"></a>

Sie können die Verschlüsselungseinstellungen nicht mehr ändern, nachdem Sie das Caching für Ihre API aktiviert haben. AWS AppSync Stattdessen müssen Sie den Cache löschen und ihn mit aktivierter Verschlüsselung neu erstellen. Weitere Informationen finden Sie unter [Cache-Verschlüsselung](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) im *AWS AppSync Entwicklerhandbuch*.

# Security Hub CSPM-Steuerelemente für Amazon Athena
<a name="athena-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Athena. Die Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Athena.1] Athena-Arbeitsgruppen sollten im Ruhezustand verschlüsselt werden
<a name="athena-1"></a>

**Wichtig**  
Security Hub CSPM hat diese Kontrolle im April 2024 eingestellt. Weitere Informationen finden Sie unter [Änderungsprotokoll für Security Hub CSPM-Steuerelemente](controls-change-log.md).

**Kategorie:** Schutz > Datenschutz > Verschlüsselung von Daten im Ruhezustand

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Athena::WorkGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Athena-Arbeitsgruppe im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn eine Athena-Arbeitsgruppe im Ruhezustand nicht verschlüsselt ist.

In Athena können Sie Arbeitsgruppen erstellen, um Abfragen für Teams, Anwendungen oder verschiedene Workloads auszuführen. Jede Arbeitsgruppe hat eine Einstellung, um die Verschlüsselung für alle Abfragen zu aktivieren. Sie haben die Möglichkeit, serverseitige Verschlüsselung mit von Amazon Simple Storage Service (Amazon S3) verwalteten Schlüsseln, serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln oder clientseitige Verschlüsselung mit kundenverwalteten KMS-Schlüsseln zu verwenden. Daten im Ruhezustand beziehen sich auf alle Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch Verschlüsselung können Sie die Vertraulichkeit solcher Daten schützen und so das Risiko verringern, dass ein unberechtigter Benutzer darauf zugreifen kann.

### Abhilfe
<a name="athena-1-remediation"></a>

Informationen zum Aktivieren der Verschlüsselung im Ruhezustand für Athena-Arbeitsgruppen finden Sie unter [Bearbeiten einer Arbeitsgruppe](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups) im *Amazon Athena* Athena-Benutzerhandbuch. **Wählen Sie im Abschnitt **Konfiguration der Abfrageergebnisse** die Option Abfrageergebnisse verschlüsseln aus.**

## [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden
<a name="athena-2"></a>

**Kategorie: Identifizieren > Inventar > Tagging**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Athena::DataCatalog`

**AWS Config Regel:** `tagged-athena-datacatalog` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein Amazon Athena Athena-Datenkatalog Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn der Datenkatalog keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Datenkatalog mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="athena-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Athena-Datenkatalog finden Sie unter [Tagging Athena-Ressourcen im *Amazon Athena*](https://docs.aws.amazon.com/athena/latest/ug/tags.html) Athena-Benutzerhandbuch.

## [Athena.3] Athena-Arbeitsgruppen sollten markiert werden
<a name="athena-3"></a>

**Kategorie: Identifizieren > Inventar > Tagging**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Athena::WorkGroup`

**AWS Config Regel:** `tagged-athena-workgroup` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine Amazon Athena Athena-Arbeitsgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind. `requiredTagKeys` Die Steuerung schlägt fehl, wenn die Arbeitsgruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat. `requiredTagKeys` Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Arbeitsgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="athena-3-remediation"></a>

Informationen zum Hinzufügen von Stichwörtern zu einer Athena-Arbeitsgruppe finden Sie unter [Hinzufügen und Löschen von Stichwörtern in einer einzelnen Arbeitsgruppe](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete) im *Amazon Athena* Athena-Benutzerhandbuch.

## [Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
<a name="athena-4"></a>

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Athena::WorkGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für eine Amazon Athena Athena-Arbeitsgruppe die Protokollierung aktiviert ist. Die Steuerung schlägt fehl, wenn für die Arbeitsgruppe die Protokollierung nicht aktiviert ist.

In Auditprotokollen werden Systemaktivitäten verfolgt und überwacht. Sie bieten eine Aufzeichnung von Ereignissen, anhand derer Sie Sicherheitsverletzungen erkennen, Vorfälle untersuchen und Vorschriften einhalten können. Auditprotokolle verbessern auch die allgemeine Rechenschaftspflicht und Transparenz Ihres Unternehmens.

### Abhilfe
<a name="athena-4-remediation"></a>

Informationen zur Aktivierung der Protokollierung für eine Athena-Arbeitsgruppe finden Sie unter [Aktivieren von CloudWatch Abfragemetriken in Athena im *Amazon Athena* Athena-Benutzerhandbuch](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html).

# Security Hub CSPM-Steuerungen für AWS Backup
<a name="backup-controls"></a>

Diese Security Hub CSPM-Steuerungen bewerten den AWS Backup Service und die Ressourcen.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein
<a name="backup-1"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 CP-9 (8), NIST.800-53.R5 SI-12

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Backup::RecoveryPoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein AWS Backup Wiederherstellungspunkt im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn der Erholungspunkt im Ruhezustand nicht verschlüsselt ist.

Ein AWS Backup Wiederherstellungspunkt bezieht sich auf eine bestimmte Kopie oder einen Snapshot von Daten, der im Rahmen eines Backup-Vorgangs erstellt wird. Er stellt einen bestimmten Zeitpunkt dar, zu dem die Daten gesichert wurden, und dient als Wiederherstellungspunkt für den Fall, dass die Originaldaten verloren gehen, beschädigt werden oder nicht mehr zugänglich sind. Die Verschlüsselung der Backup-Wiederherstellungspunkte bietet zusätzlichen Schutz vor unbefugtem Zugriff. Die Verschlüsselung ist eine bewährte Methode zum Schutz der Vertraulichkeit, Integrität und Sicherheit von Backup-Daten.

### Abhilfe
<a name="backup-1-remediation"></a>

Informationen zur Verschlüsselung eines AWS Backup Wiederherstellungspunkts finden Sie unter [Verschlüsselung für Backups AWS Backup im AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html) *Entwicklerhandbuch*.

## [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden
<a name="backup-2"></a>

**Kategorie:** Identifizieren > Inventar > Kennzeichnung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Backup::RecoveryPoint`

**AWS Config Regel:** `tagged-backup-recoverypoint` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS Backup Wiederherstellungspunkt über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn der Erholungspunkt keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Erholungspunkt mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="backup-2-remediation"></a>

**So fügen Sie einem AWS Backup Recovery Point Tags hinzu**

1. Öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Wählen Sie im Navigationsbereich **Backup-Pläne** aus.

1. Wählen Sie einen Backup-Plan aus der Liste aus.

1. Wählen Sie im Abschnitt **Backup-Plan-Tags** die Option **Tags verwalten** aus.

1. Geben Sie den Schlüssel und den Wert für den Tags (Markierungen) ein. Wählen Sie **Neues Tag hinzufügen** für weitere Schlüssel-Wert-Paare.

1. Wenn Sie mit dem Hinzufügen der Tags fertig sind, wählen Sie **Speichern**.

## [Backup.3] AWS Backup Tresore sollten markiert sein
<a name="backup-3"></a>

**Kategorie: Identifizieren > Inventar** > Kennzeichnung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Backup::BackupVault`

**AWS Config Regel:** `tagged-backup-backupvault` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS Backup Tresor über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn der Recovery Point keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Erholungspunkt mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="backup-3-remediation"></a>

**So fügen Sie Tags zu einem Tresor hinzu AWS Backup**

1. Öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Wählen Sie im Navigationsbereich **Backup vaults (Sicherungstresore)** aus.

1. Wählen Sie einen Backup-Tresor aus der Liste aus.

1. Wählen Sie im Abschnitt **Backup-Tresor-Tags** die Option **Tags verwalten** aus.

1. Geben Sie den Schlüssel und den Wert für den Tags (Markierungen) ein. Wählen Sie **Neues Tag hinzufügen** für weitere Schlüssel-Wert-Paare.

1. Wenn Sie mit dem Hinzufügen der Tags fertig sind, wählen Sie **Speichern**.

## [Backup.4] AWS Backup Berichtspläne sollten markiert werden
<a name="backup-4"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Backup::ReportPlan`

**AWS Config Regel:** `tagged-backup-reportplan` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS Backup Berichtsplan Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn der Berichtsplan keine Tagschlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Berichtsplan mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="backup-4-remediation"></a>

**So fügen Sie Stichwörter zu einem Berichtsplan AWS Backup hinzu**

1. Öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Wählen Sie im Navigationsbereich **Backup vaults (Sicherungstresore)** aus.

1. Wählen Sie einen Backup-Tresor aus der Liste aus.

1. Wählen Sie im Abschnitt **Backup-Tresor-Tags** die Option **Tags verwalten** aus.

1. Wählen Sie **Neues Tag hinzufügen** aus. Geben Sie den Schlüssel und den Wert für den Tags (Markierungen) ein. Wiederholen Sie den Vorgang für weitere Schlüssel-Wert-Paare.

1. Wenn Sie mit dem Hinzufügen der Tags fertig sind, wählen Sie **Speichern**.

## [Backup.5] AWS Backup Backup-Pläne sollten markiert werden
<a name="backup-5"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Backup::BackupPlan`

**AWS Config Regel:** `tagged-backup-backupplan` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS Backup Backup-Plan Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn der Backup-Plan keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Backup-Plan mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="backup-5-remediation"></a>

**So fügen Sie Stichwörter zu einem Backup-Plan AWS Backup hinzu**

1. Öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Wählen Sie im Navigationsbereich **Backup vaults (Sicherungstresore)** aus.

1. Wählen Sie einen Backup-Tresor aus der Liste aus.

1. Wählen Sie im Abschnitt **Backup-Tresor-Tags** die Option **Tags verwalten** aus.

1. Wählen Sie **Neues Tag hinzufügen** aus. Geben Sie den Schlüssel und den Wert für den Tags (Markierungen) ein. Wiederholen Sie den Vorgang für weitere Schlüssel-Wert-Paare.

1. Wenn Sie mit dem Hinzufügen der Tags fertig sind, wählen Sie **Speichern**.

# Security Hub CSPM-Steuerungen für AWS Batch
<a name="batch-controls"></a>

Diese Security Hub CSPM-Steuerungen bewerten den AWS Batch Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden
<a name="batch-1"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Batch::JobQueue`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine AWS Batch Auftragswarteschlange Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredKeyTags` definiert sind. Das Steuerelement schlägt fehl, wenn die Auftragswarteschlange keine Tagschlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Auftragswarteschlange mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="batch-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Batch-Job-Warteschlange finden Sie unter [Taggen Ihrer Ressourcen](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) im *AWS Batch Benutzerhandbuch*.

## [Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein
<a name="batch-2"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Batch::SchedulingPolicy`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine AWS Batch Planungsrichtlinie Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredKeyTags` definiert sind. Das Steuerelement schlägt fehl, wenn die Planungsrichtlinie keine Tagschlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Scheduling-Richtlinie mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="batch-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Batch-Planungsrichtlinie finden Sie unter [Taggen Ihrer Ressourcen](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) im *AWS Batch Benutzerhandbuch*.

## [Batch.3] Batch-Computing-Umgebungen sollten markiert werden
<a name="batch-3"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Batch::ComputeEnvironment`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine AWS Batch Rechenumgebung über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredKeyTags` definiert sind. Das Steuerelement schlägt fehl, wenn die Rechenumgebung keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Rechenumgebung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="batch-3-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Batch-Computing-Umgebung finden Sie unter [Taggen Ihrer Ressourcen](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) im *AWS Batch Benutzerhandbuch*.

## [Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden
<a name="batch-4"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Batch::ComputeEnvironment`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob die Eigenschaft Compute Resources in einer verwalteten AWS Batch Rechenumgebung über die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel verfügt. Das Steuerelement schlägt fehl, wenn die Eigenschaft „Compute Resources“ keine Tag-Schlüssel oder nicht alle durch den `requiredKeyTags` Parameter angegebenen Schlüssel enthält. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn eine Compute-Resources-Eigenschaft keine Tag-Schlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben. Dieses Steuerelement bewertet weder unverwaltete Computerumgebungen noch verwaltete Umgebungen, die Ressourcen verbrauchen AWS Fargate .

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="batch-4-remediation"></a>

Informationen zum Hinzufügen von Tags zu Rechenressourcen in einer verwalteten AWS Batch Rechenumgebung finden Sie unter [Taggen Ihrer Ressourcen](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) im *AWS Batch Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für AWS Certificate Manager
<a name="acm-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS Certificate Manager (ACM-) Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden
<a name="acm-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), NIST.800-171.R2 3.13.15, PCI DSS v4.0.1/4.2.1

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ACM::Certificate`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)

**Art des Zeitplans:** Ausgelöste und periodische Änderung

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `daysToExpiration`  |  Anzahl der Tage, innerhalb derer das ACM-Zertifikat erneuert werden muss  |  Ganzzahl  |  `14` auf `365`  |  `30`  | 

Diese Kontrolle prüft, ob ein AWS Certificate Manager (ACM-) Zertifikat innerhalb des angegebenen Zeitraums erneuert wird. Es überprüft sowohl importierte Zertifikate als auch von ACM bereitgestellte Zertifikate. Die Kontrolle schlägt fehl, wenn das Zertifikat nicht innerhalb des angegebenen Zeitraums erneuert wird. Sofern Sie keinen benutzerdefinierten Parameterwert für den Verlängerungszeitraum angeben, verwendet Security Hub CSPM einen Standardwert von 30 Tagen.

ACM kann Zertifikate, die DNS-Validierung verwenden, automatisch verlängern. Bei Zertifikaten, die E-Mail-Validierung verwenden, müssen Sie auf eine E-Mail zur Domainvalidierung antworten. ACM erneuert Zertifikate, die Sie importieren, nicht automatisch. Sie müssen importierte Zertifikate manuell erneuern.

### Abhilfe
<a name="acm-1-remediation"></a>

ACM bietet eine verwaltete Verlängerung für Ihre von Amazon ausgestellten SSL/TLS Zertifikate. Das bedeutet, dass ACM Ihre Zertifikate entweder automatisch erneuert (wenn Sie die DNS-Validierung verwenden) oder Ihnen E-Mail-Benachrichtigungen sendet, wenn der Ablauf des Zertifikats näher rückt. Diese Dienste werden sowohl für öffentliche als auch für private ACM-Zertifikate bereitgestellt.

**Für Domains, die per E-Mail validiert wurden**  
Wenn ein Zertifikat 45 Tage vor Ablauf abläuft, sendet ACM für jeden Domainnamen eine E-Mail an den Domaininhaber. Um die Domains zu validieren und die Verlängerung abzuschließen, müssen Sie auf die E-Mail-Benachrichtigungen antworten.  
Weitere Informationen finden Sie im *AWS Certificate Manager Benutzerhandbuch* unter [Verlängerung für per E-Mail validierte Domains](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html).

**Für Domains, die durch DNS validiert wurden**  
ACM erneuert automatisch Zertifikate, die DNS-Validierung verwenden. 60 Tage vor Ablauf überprüft ACM, ob das Zertifikat erneuert werden kann.  
Wenn ein Domainname nicht validiert werden kann, sendet ACM eine Benachrichtigung, dass eine manuelle Validierung erforderlich ist. Diese Benachrichtigungen werden 45 Tage, 30 Tage, 7 Tage und 1 Tag vor Ablauf gesendet.  
Weitere Informationen finden Sie im *AWS Certificate Manager Benutzerhandbuch* unter [Verlängerung für durch DNS validierte Domains](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html).

## [ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden
<a name="acm-2"></a>

**Verwandte Anforderungen: PCI DSS v4.0.1/4.2.1**

**Kategorie: Identifizieren > Inventar > Inventardienste**

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::ACM::Certificate`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob RSA-Zertifikate, die mit verwaltet werden, eine Schlüssellänge von mindestens 2.048 Bit AWS Certificate Manager verwenden. Die Steuerung schlägt fehl, wenn die Schlüssellänge kleiner als 2.048 Bit ist.

Die Stärke der Verschlüsselung korreliert direkt mit der Schlüsselgröße. Wir empfehlen Schlüssellängen von mindestens 2.048 Bit, um Ihre AWS Ressourcen zu schützen, da Rechenleistung immer günstiger wird und Server immer fortschrittlicher werden.

### Abhilfe
<a name="acm-2-remediation"></a>

Die Mindestschlüssellänge für von ACM ausgestellte RSA-Zertifikate beträgt bereits 2.048 Bit. *Anweisungen zur Ausstellung neuer RSA-Zertifikate mit ACM finden Sie unter [Ausstellen und Verwalten von](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) Zertifikaten im Benutzerhandbuch.AWS Certificate Manager *

Mit ACM können Sie zwar Zertifikate mit kürzeren Schlüssellängen importieren, Sie müssen jedoch Schlüssel mit mindestens 2.048 Bit verwenden, um diese Kontrolle zu bestehen. Sie können die Schlüssellänge nach dem Import eines Zertifikats nicht ändern. Stattdessen müssen Sie Zertifikate mit einer Schlüssellänge von weniger als 2.048 Bit löschen. *Weitere Informationen zum Importieren von Zertifikaten in ACM finden Sie unter [Voraussetzungen für den Import von Zertifikaten](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html) im AWS Certificate Manager Benutzerhandbuch.*

## [ACM.3] ACM-Zertifikate sollten mit einem Tag versehen werden
<a name="acm-3"></a>

**Kategorie: Identifizieren > Inventar** > Kennzeichnung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::ACM::Certificate`

**AWS Config Regel:** `tagged-acm-certificate` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS Certificate Manager (ACM-) Zertifikat Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind. `requiredTagKeys` Die Kontrolle schlägt fehl, wenn das Zertifikat keine Tagschlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Zertifikat mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="acm-3-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einem ACM-Zertifikat finden Sie unter Kennzeichnen [von AWS Certificate Manager Zertifikaten im Benutzerhandbuch](https://docs.aws.amazon.com/acm/latest/userguide/tags.html).AWS Certificate Manager *

# Security Hub CSPM-Steuerungen für CloudFormation
<a name="cloudformation-controls"></a>

Diese Security Hub CSPM-Steuerungen bewerten den AWS CloudFormation Service und die Ressourcen.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [CloudFormation.1] CloudFormation Stacks sollten in Simple Notification Service (SNS) integriert werden
<a name="cloudformation-1"></a>

**Wichtig**  
Security Hub CSPM hat diese Kontrolle im April 2024 eingestellt. Weitere Informationen finden Sie unter [Änderungsprotokoll für Security Hub CSPM-Steuerelemente](controls-change-log.md).

**Verwandte Anforderungen:** NIST.800-53.R5 SI-4 (12), NIST.800-53.R5 SI-4 (5)

**Kategorie**: Erkennen > Erkennungsdienste > Anwendungsüberwachung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::CloudFormation::Stack`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob eine Amazon Simple Notification Service-Benachrichtigung in einen CloudFormation Stack integriert ist. Die Kontrolle schlägt für einen CloudFormation Stack fehl, wenn ihm keine SNS-Benachrichtigung zugeordnet ist.

Wenn Sie eine SNS-Benachrichtigung mit Ihrem CloudFormation Stack konfigurieren, können Sie die Beteiligten sofort über alle Ereignisse oder Änderungen informieren, die im Stack auftreten.

### Abhilfe
<a name="cloudformation-1-remediation"></a>

*Informationen zur Integration eines CloudFormation Stacks und eines SNS-Themas finden Sie unter [Stacks direkt aktualisieren](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html) im AWS CloudFormation Benutzerhandbuch.*

## [CloudFormation.2] CloudFormation Stapel sollten markiert werden
<a name="cloudformation-2"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::CloudFormation::Stack`

**AWS Config Regel:** `tagged-cloudformation-stack` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS CloudFormation Stack Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn der Stack keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Stack mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="cloudformation-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem CloudFormation Stack finden Sie [CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)in der *AWS CloudFormation API-Referenz*.

## [CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
<a name="cloudformation-3"></a>

**Kategorie:** Schützen > Datenschutz > Schutz vor Datenlöschung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::CloudFormation::Stack`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für einen AWS CloudFormation Stack der Terminierungsschutz aktiviert ist. Die Steuerung schlägt fehl, wenn der Terminierungsschutz für einen CloudFormation Stack nicht aktiviert ist.

CloudFormation hilft dabei, verwandte Ressourcen als eine einzige Einheit zu verwalten, die als Stack bezeichnet wird. Sie können das versehentliche Löschen eines Stacks verhindern, indem Sie den Beendigungsschutz des Stacks aktivieren. Wenn ein Benutzer versucht, einen Stack mit aktiviertem Beendigungsschutz zu löschen, schlägt das Löschen fehl und der Stack – einschließlich seines Status – bleibt unverändert. Sie können den Beendigungsschutz für einen Stapel mit einem beliebigen Status außer `DELETE_IN_PROGRESS` oder `DELETE_COMPLETE`einstellen. 

**Anmerkung**  
Wenn Sie den Beendigungsschutz für einen Stack aktivieren oder deaktivieren, wird diese Entscheidung auch an alle verschachtelten Stacks weitergegeben, die zu diesem Stack gehören. Sie können den Beendigungsschutz nicht direkt für einen verschachtelten Stack aktivieren oder deaktivieren. Sie können einen verschachtelten Stack, der zu einem Stack gehört, für den der Terminierungsschutz aktiviert ist, nicht direkt löschen. Wenn neben dem Stack-Namen NESTED angezeigt wird, handelt es sich um einen verschachtelten Stack. Sie können nur den Beendigungsschutz des Root-Stacks ändern, zu dem der verschachtelte Stack gehört. 

### Abhilfe
<a name="cloudformation-3-remediation"></a>

Informationen zum Aktivieren des Kündigungsschutzes für einen CloudFormation Stack finden Sie unter [ CloudFormation Stacks vor dem Löschen schützen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html) im *AWS CloudFormation Benutzerhandbuch*.

## [CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
<a name="cloudformation-4"></a>

**Kategorie:** Erkennen > Sicheres Zugriffsmanagement

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::CloudFormation::Stack`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob einem AWS CloudFormation Stack eine Servicerolle zugeordnet ist. Das Steuerelement schlägt für einen CloudFormation Stack fehl, wenn ihm keine Servicerolle zugeordnet ist.

Ausführungsrollen für die vom Service verwaltete StackSets Nutzung über die vertrauenswürdige Zugriffsintegration von AWS Organizations. Das Steuerelement generiert außerdem den Befund FAILED für einen AWS CloudFormation Stack, der von service-managed erstellt wurde StackSets , weil ihm keine Servicerolle zugeordnet ist. Aufgrund der Art und Weise, wie die vom Service verwaltete StackSets Authentifizierung erfolgt, kann das `roleARN` Feld für diese Stacks nicht ausgefüllt werden.

Die Verwendung von Servicerollen mit CloudFormation Stacks hilft bei der Implementierung des Zugriffs mit den geringsten Rechten, indem die Berechtigungen zwischen dem Benutzer, der die creates/updates Stapel erstellt, und den Berechtigungen, die für zwei Ressourcen benötigt werden, getrennt werden. CloudFormation create/update Dies reduziert das Risiko einer Eskalation von Rechten und trägt dazu bei, die Sicherheitsgrenzen zwischen verschiedenen betrieblichen Rollen aufrechtzuerhalten.

**Anmerkung**  
Es ist nicht möglich, eine Service-Rolle zu entfernen, die einem Stack zugewiesen ist, nachdem der Stack erstellt wurde. Andere Benutzer, die die Berechtigung haben, Operationen auf diesem Stapel durchzuführen, können diese Rolle verwenden, unabhängig davon, ob diese Benutzer die Berechtigung `iam:PassRole` haben oder nicht. Wenn die Rolle Berechtigungen umfasst, die der Benutzer nicht haben sollte, können Sie die Berechtigungen eines Benutzers versehentlich weiterleiten. Stellen Sie sicher, dass die Rolle die geringsten Rechte zugesteht.

### Abhilfe
<a name="cloudformation-4-remediation"></a>

Informationen zum Zuordnen einer Servicerolle zu einem CloudFormation Stack finden Sie unter [CloudFormation Servicerolle](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html) im *AWS CloudFormation Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für Amazon CloudFront
<a name="cloudfront-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den CloudFront Service und die Ressourcen von Amazon. Die Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
<a name="cloudfront-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::CloudFront::Distribution`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine CloudFront Amazon-Distribution mit S3-Ursprüngen so konfiguriert ist, dass sie ein bestimmtes Objekt zurückgibt, das das Standard-Root-Objekt ist. Die Steuerung schlägt fehl, wenn die CloudFront Distribution S3-Ursprünge verwendet und kein Standard-Root-Objekt konfiguriert ist. Dieses Steuerelement gilt nicht für CloudFront Distributionen, die benutzerdefinierte Ursprünge verwenden.

Ein Benutzer kann manchmal die Stamm-URL der Distribution anstelle eines Objekts in der Distribution anfordern. In diesem Fall können Sie durch die Festlegung eines Standardstammobjekt verhindern, dass die Inhalte Ihrer Web-Verteilung preisgegeben werden.

### Abhilfe
<a name="cloudfront-1-remediation"></a>

Informationen zur Konfiguration eines Standard-Root-Objekts für eine CloudFront Distribution finden Sie unter [How to specify a default root object](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine) im *Amazon CloudFront Developer Guide*.

## [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
<a name="cloudfront-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::CloudFront::Distribution`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob eine CloudFront Amazon-Distribution verlangt, dass Zuschauer HTTPS direkt verwenden, oder ob sie eine Umleitung verwendet. Die Steuerung schlägt fehl, wenn sie auf `allow-all` für `defaultCacheBehavior` oder für `cacheBehaviors` gesetzt `ViewerProtocolPolicy` ist.

HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer person-in-the-middle oder ähnliche Angriffe verwenden, um den Netzwerkverkehr zu belauschen oder zu manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Die Verschlüsselung von Daten während der Übertragung kann die Leistung beeinträchtigen. Sie sollten Ihre Anwendung mit dieser Funktion testen, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen.

### Abhilfe
<a name="cloudfront-3-remediation"></a>

Informationen zum Verschlüsseln einer CloudFront Verteilung während der Übertragung finden Sie unter [HTTPS für die Kommunikation zwischen Zuschauern erforderlich und CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) im *Amazon CloudFront Developer Guide*.

## [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
<a name="cloudfront-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::CloudFront::Distribution`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob eine CloudFront Amazon-Distribution mit einer Ursprungsgruppe konfiguriert ist, die zwei oder mehr Ursprünge hat.

CloudFront Origin-Failover kann die Verfügbarkeit erhöhen. Origin-Failover leitet den Datenverkehr automatisch an einen sekundären Ursprung weiter, wenn der primäre Ursprung nicht verfügbar ist oder wenn bestimmte HTTP-Antwortstatuscodes zurückgegeben werden.

### Abhilfe
<a name="cloudfront-4-remediation"></a>

Informationen zur Konfiguration des Origin-Failovers für eine CloudFront Distribution finden Sie unter [Creating an Origin Group](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating) im *Amazon CloudFront Developer Guide*.

## [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
<a name="cloudfront-5"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::CloudFront::Distribution`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Serverzugriffsprotokollierung für CloudFront Distributionen aktiviert ist. Die Steuerung schlägt fehl, wenn die Zugriffsprotokollierung für eine Verteilung nicht aktiviert ist. Dieses Steuerelement bewertet nur, ob die Standardprotokollierung (Legacy) für eine Verteilung aktiviert ist.

CloudFront Zugriffsprotokolle enthalten detaillierte Informationen über jede eingehende Benutzeranfrage CloudFront. Jedes Protokoll enthält Informationen wie Datum und Uhrzeit des Eingangs der Anfrage, die IP-Adresse des Betrachters, der die Anfrage gestellt hat, die Quelle der Anfrage und die Portnummer der Anfrage vom Betrachter. Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsprüfungen sowie forensische Untersuchungen nützlich. Weitere Informationen zur Analyse von Zugriffsprotokollen finden Sie unter [ CloudFront Amazon-Protokolle abfragen](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html) im *Amazon Athena-Benutzerhandbuch*.

### Abhilfe
<a name="cloudfront-5-remediation"></a>

Informationen zur Konfiguration der Standardprotokollierung (Legacy) für eine CloudFront Distribution finden [Sie unter Standardprotokollierung konfigurieren (Legacy)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html) im *Amazon CloudFront Developer Guide*.

## [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
<a name="cloudfront-6"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2

**Kategorie: Schützen > Schutzdienste**

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::CloudFront::Distribution`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob CloudFront Distributionen entweder AWS WAF Classic oder AWS WAF Web ACLs zugeordnet sind. Das Steuerelement schlägt fehl, wenn die Distribution keiner Web-ACL zugeordnet ist.

AWS WAF ist eine Firewall für Webanwendungen, die zum Schutz von Webanwendungen und APIs vor Angriffen beiträgt. Sie ermöglicht es ihnen, eine Gruppe von Regeln (eine sogenannte Web-Zugriffskontrollliste oder Web-ACL) zum Zulassen, Blockieren oder Zählen von Webanforderungen basierend auf von Ihnen definierten anpassbaren Web-Sicherheitsregeln und Bedingungen zu konfigurieren. Stellen Sie sicher, dass Ihre CloudFront Distribution mit einer AWS WAF Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen.

### Abhilfe
<a name="cloudfront-6-remediation"></a>

Informationen zum Verknüpfen einer AWS WAF Web-ACL mit einer CloudFront Distribution finden Sie [unter Verwendung AWS WAF zur Zugriffskontrolle auf Ihre Inhalte](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) im *Amazon CloudFront Developer Guide*.

## [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS
<a name="cloudfront-7"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::CloudFront::Distribution`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob CloudFront Distributionen das SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS Standardzertifikat verwenden.

 Benutzerdefiniert SSL/TLS ermöglichen es Ihren Benutzern, mithilfe alternativer Domainnamen auf Inhalte zuzugreifen. Sie können benutzerdefinierte Zertifikate in AWS Certificate Manager (empfohlen) oder in IAM speichern. 

### Abhilfe
<a name="cloudfront-7-remediation"></a>

Informationen zum Hinzufügen eines alternativen Domainnamens für eine CloudFront Distribution mit einem benutzerdefinierten SSL/TLS-Zertifikat finden Sie unter [Hinzufügen eines alternativen Domainnamens](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME) im *Amazon CloudFront Developer Guide*.

## [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
<a name="cloudfront-8"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::CloudFront::Distribution`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen ein benutzerdefiniertes SSL/TLS Zertifikat verwenden und so konfiguriert sind, dass SNI zur Bearbeitung von HTTPS-Anfragen verwendet wird. Diese Kontrolle schlägt fehl, wenn ein benutzerdefiniertes SSL/TLS Zertifikat zugeordnet ist, die SSL/TLS Unterstützungsmethode jedoch eine dedizierte IP-Adresse ist.

Die Servernamensanzeige (SNI) ist eine Erweiterung des TLS-Protokolls, die in Browsern und Clients unterstützt wird, die nach 2010 veröffentlicht wurden. Wenn Sie so konfigurieren CloudFront , dass HTTPS-Anfragen mithilfe von SNI bedient CloudFront werden, verknüpfen Sie Ihren alternativen Domainnamen mit einer IP-Adresse für jeden Edge-Standort. Sobald ein Viewer Inhalte von Ihnen durch Senden einer HTTPS-Anforderung abruft, leitet DNS die Anforderung an die IP-Adresse des korrekten Edge-Standorts weiter. Die IP-Adresse Ihres Domainnamens wird während der SSL/TLS Handshake-Verhandlung festgelegt. Die IP-Adresse ist nicht für Ihre Distribution reserviert. 

### Abhilfe
<a name="cloudfront-8-remediation"></a>

Informationen zur Konfiguration einer CloudFront Distribution für die Verwendung von SNI zur Bearbeitung von HTTPS-Anfragen finden Sie unter [Verwenden von SNI zur Bearbeitung von HTTPS-Anfragen (funktioniert für die meisten Kunden) im CloudFront Entwicklerhandbuch](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni). Informationen zu benutzerdefinierten SSL-Zertifikaten finden Sie unter [Anforderungen für die Verwendung von SSL/TLS Zertifikaten mit](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html). CloudFront

## [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln
<a name="cloudfront-9"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::CloudFront::Distribution`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln. Diese Kontrolle schlägt bei einer CloudFront Distribution fehl, deren Ursprungsprotokollrichtlinie „Nur HTTP“ zulässt. Diese Kontrolle schlägt auch fehl, wenn die Ursprungsprotokollrichtlinie der Distribution „Match-Viewer“ lautet, während die Viewer-Protokollrichtlinie „Allow-all“ lautet.

HTTPS (TLS) kann verwendet werden, um das Abhören oder Manipulieren des Netzwerkverkehrs zu verhindern. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. 

### Abhilfe
<a name="cloudfront-9-remediation"></a>

Informationen zur Aktualisierung der Origin-Protokollrichtlinie, sodass für eine CloudFront Verbindung eine Verschlüsselung [erforderlich ist, finden Sie im *Amazon CloudFront Developer Guide* unter HTTPS für die Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) erforderlich machen.

## [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden
<a name="cloudfront-10"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, (4), (1), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::CloudFront::Distribution`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen veraltete SSL-Protokolle für die HTTPS-Kommunikation zwischen CloudFront Edge-Standorten und Ihren benutzerdefinierten Ursprüngen verwenden. Diese Kontrolle schlägt fehl, wenn eine CloudFront Distribution über ein Where Includes verfügt`CustomOriginConfig`. `OriginSslProtocols` `SSLv3`

Im Jahr 2015 gab die Internet Engineering Task Force (IETF) offiziell bekannt, dass SSL 3.0 nicht mehr unterstützt werden sollte, da das Protokoll nicht ausreichend sicher ist. Es wird empfohlen, dass Sie TLSv1 .2 oder höher für die HTTPS-Kommunikation mit Ihren benutzerdefinierten Ursprüngen verwenden. 

### Abhilfe
<a name="cloudfront-10-remediation"></a>

Informationen zur Aktualisierung der Origin-SSL-Protokolle für eine CloudFront Distribution finden Sie unter [HTTPS für die Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung erforderlich](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) im *Amazon CloudFront Developer Guide*.

## [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen
<a name="cloudfront-12"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), PCI DSS v4.0.1/2.2.6

**Kategorie**: Identifizieren > Ressourcenkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::CloudFront::Distribution`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen auf nicht existierende Amazon S3-Ursprünge verweisen. Die Kontrolle schlägt bei einer CloudFront Distribution fehl, wenn der Ursprung so konfiguriert ist, dass er auf einen nicht existierenden Bucket verweist. Diese Steuerung gilt nur für CloudFront Distributionen, bei denen ein S3-Bucket ohne statisches Website-Hosting der S3-Ursprung ist.

Wenn eine CloudFront Distribution in Ihrem Konto so konfiguriert ist, dass sie auf einen nicht existierenden Bucket verweist, kann ein böswilliger Dritter den Bucket erstellen, auf den verwiesen wird, und seine eigenen Inhalte über Ihre Distribution bereitstellen. Wir empfehlen, alle Ursprünge unabhängig vom Routing-Verhalten zu überprüfen, um sicherzustellen, dass Ihre Distributionen auf die richtigen Ursprünge verweisen. 

### Abhilfe
<a name="cloudfront-12-remediation"></a>

Informationen zum Ändern einer CloudFront Distribution, sodass sie auf einen neuen Ursprung verweist, finden Sie unter [Aktualisieren einer Distribution](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) im *Amazon CloudFront Developer Guide*.

## [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
<a name="cloudfront-13"></a>

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Ressource nicht öffentlich zugänglich

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::CloudFront::Distribution`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob für eine CloudFront Amazon-Distribution mit einem Amazon S3-Ursprung die Origin Access Control (OAC) konfiguriert ist. Die Kontrolle schlägt fehl, wenn OAC nicht für die CloudFront Distribution konfiguriert ist.

Wenn Sie einen S3-Bucket als Ursprung für Ihre CloudFront Distribution verwenden, können Sie OAC aktivieren. Dies ermöglicht den Zugriff auf den Inhalt im Bucket nur über die angegebene CloudFront Distribution und verhindert den direkten Zugriff aus dem Bucket oder einer anderen Distribution. Obwohl Origin Access Identity (OAI) CloudFront unterstützt wird, bietet OAC zusätzliche Funktionen, und Distributionen, die OAI verwenden, können zu OAC migriert werden. OAI bietet zwar eine sichere Möglichkeit, auf S3-Ursprünge zuzugreifen, weist jedoch Einschränkungen auf, z. B. mangelnde Unterstützung für detaillierte Richtlinienkonfigurationen und für HTTP/HTTPS Anfragen, die die POST-Methode verwenden und für die Signature Version 4 (Sigv4) erforderlich AWS ist. AWS-Regionen OAI unterstützt auch keine Verschlüsselung mit. AWS Key Management Service OAC basiert auf einer AWS bewährten Methode zur Verwendung von IAM-Dienstprinzipalen zur Authentifizierung mit S3-Ursprüngen. 

### Abhilfe
<a name="cloudfront-13-remediation"></a>

Informationen zur Konfiguration von OAC für eine CloudFront Distribution mit S3-Ursprüngen finden Sie unter [Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) im *Amazon CloudFront Developer Guide*.

## [CloudFront.14] CloudFront Distributionen sollten markiert werden
<a name="cloudfront-14"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::CloudFront::Distribution`

**AWS Config Regel:** `tagged-cloudfront-distribution` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine CloudFront Amazon-Distribution Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredTagKeys`. Die Steuerung schlägt fehl, wenn die Distribution keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Verteilung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="cloudfront-14-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer CloudFront Distribution finden Sie unter [Tagging CloudFront Amazon-Distributionen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html) im *Amazon CloudFront Developer Guide*.

## [CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
<a name="cloudfront-15"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::CloudFront::Distribution`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**`securityPolicies`: `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (nicht anpassbar)

Diese Kontrolle prüft, ob eine CloudFront Amazon-Distribution für die Verwendung einer empfohlenen TLS-Sicherheitsrichtlinie konfiguriert ist. Die Kontrolle schlägt fehl, wenn die CloudFront Distribution nicht für die Verwendung einer empfohlenen TLS-Sicherheitsrichtlinie konfiguriert ist.

Wenn Sie eine CloudFront Amazon-Distribution so konfigurieren, dass Zuschauer HTTPS für den Zugriff auf Inhalte verwenden müssen, müssen Sie eine Sicherheitsrichtlinie auswählen und die zu verwendende SSL/TLS Mindestprotokollversion angeben. Dies bestimmt, welche Protokollversion für die Kommunikation mit Zuschauern CloudFront verwendet wird und welche Chiffren zur Verschlüsselung der Kommunikation CloudFront verwendet werden. Wir empfehlen, die neueste Sicherheitsrichtlinie zu verwenden, die dies bietet. CloudFront Dadurch wird sichergestellt, dass die neuesten Cipher Suites CloudFront verwendet werden, um Daten zu verschlüsseln, die zwischen einem Viewer und einer Distribution übertragen werden. CloudFront

**Anmerkung**  
Dieses Steuerelement generiert Ergebnisse nur für CloudFront Distributionen, die für die Verwendung benutzerdefinierter SSL-Zertifikate konfiguriert sind und die nicht für die Unterstützung älterer Clients konfiguriert sind.

### Abhilfe
<a name="cloudfront-15-remediation"></a>

Informationen zur Konfiguration der Sicherheitsrichtlinie für eine CloudFront Distribution finden Sie unter [Eine Distribution aktualisieren](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) im *Amazon CloudFront Developer Guide*. Wenn Sie die Sicherheitsrichtlinie für eine Distribution konfigurieren, wählen Sie die neueste Sicherheitsrichtlinie aus.

## [CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden
<a name="cloudfront-16"></a>

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::CloudFront::Distribution`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob bei einer CloudFront Amazon-Distribution mit einer AWS Lambda Funktions-URL als Ursprung die Origin Access Control (OAC) aktiviert ist. Die Steuerung schlägt fehl, wenn die CloudFront Distribution eine Lambda-Funktions-URL als Ursprung hat und OAC nicht aktiviert ist.

Eine AWS Lambda Funktions-URL ist ein dedizierter HTTPS-Endpunkt für eine Lambda-Funktion. Wenn eine Lambda-Funktions-URL der Ursprung einer CloudFront Distribution ist, muss die Funktions-URL öffentlich zugänglich sein. Aus Sicherheitsgründen sollten Sie daher ein OAC erstellen und es der Lambda-Funktions-URL in einer Distribution hinzufügen. OAC verwendet IAM-Dienstprinzipale, um Anfragen zwischen und der Funktions-URL zu authentifizieren. CloudFront Es unterstützt auch die Verwendung ressourcenbasierter Richtlinien, sodass der Aufruf einer Funktion nur dann zulässig ist, wenn eine Anfrage im Namen einer in der Richtlinie angegebenen Distribution erfolgt. CloudFront 

### Abhilfe
<a name="cloudfront-16-remediation"></a>

Informationen zur Konfiguration von OAC für eine CloudFront Amazon-Distribution, die eine Lambda-Funktions-URL als Ursprung verwendet, finden Sie unter [Beschränken Sie den Zugriff auf einen AWS Lambda Funktions-URL-Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html) im *Amazon CloudFront Developer Guide*.

## [CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs
<a name="cloudfront-17"></a>

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Zugriffskontrolle

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::CloudFront::Distribution`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob eine CloudFront Amazon-Distribution so konfiguriert ist, dass sie vertrauenswürdige Schlüsselgruppen für die Authentifizierung mit signierten URLs oder signierten Cookies verwendet. Die Kontrolle schlägt fehl, wenn die CloudFront Distribution vertrauenswürdige Unterzeichner verwendet oder wenn für die Distribution keine Authentifizierung konfiguriert ist.

Um signierte URLs oder signierte Cookies verwenden zu können, benötigen Sie einen Unterzeichner. Ein Unterzeichner ist entweder eine vertrauenswürdige Schlüsselgruppe, in der Sie erstellen CloudFront, oder ein AWS Konto, das ein CloudFront key pair enthält. Wir empfehlen, vertrauenswürdige Schlüsselgruppen zu verwenden, da Sie bei CloudFront Schlüsselgruppen nicht den Root-Benutzer des AWS Kontos verwenden müssen, um die öffentlichen Schlüssel für CloudFront signierte URLs und signierte Cookies zu verwalten.

**Anmerkung**  
Dieses Steuerelement bewertet keine CloudFront Mehrmandantenverteilungen`(connectionMode=tenant-only)`.

### Abhilfe
<a name="cloudfront-17-remediation"></a>

Informationen zur Verwendung vertrauenswürdiger Schlüsselgruppen mit signierten URLs und Cookies finden Sie unter [Verwenden vertrauenswürdiger Schlüsselgruppen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html) im *Amazon CloudFront Developer Guide*.

# Security Hub CSPM-Steuerungen für AWS CloudTrail
<a name="cloudtrail-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS CloudTrail Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst
<a name="cloudtrail-1"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/3.1, CIS AWS Foundations Benchmark v1.2.0/2.1, CIS AWS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, NIST.800-53.r5 AC-2 (4), (26), (9), NIST.800-53.r5 AC-4 (22) NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**
+ `readWriteType`: `ALL` (nicht anpassbar)

  `includeManagementEvents`: `true` (nicht anpassbar)

Dieses Steuerelement prüft, ob es mindestens einen multiregionalen AWS CloudTrail Trail gibt, der Lese- und Schreibverwaltungsereignisse erfasst. Das Steuerelement schlägt fehl, wenn es deaktiviert CloudTrail ist oder wenn es nicht mindestens einen CloudTrail Pfad gibt, der Lese- und Schreibverwaltungsereignisse erfasst.

AWS CloudTrail zeichnet AWS API-Aufrufe für Ihr Konto auf und übermittelt Ihnen Protokolldateien. Die aufgezeichneten Informationen umfassen die folgenden Informationen:
+ Identität des API-Aufrufers
+ Zeit des API-Aufrufs
+ Quell-IP-Adresse des API-Aufrufers
+ Anforderungsparameter
+ Antwortelemente, die von zurückgegeben wurden AWS-Service

CloudTrail stellt einen Verlauf der AWS API-Aufrufe für ein Konto bereit, einschließlich API-Aufrufen, die über die Befehlszeilentools AWS-Managementkonsole AWS SDKs,, getätigt wurden. Die Historie umfasst auch API-Aufrufe von höheren Ebenen AWS-Services wie. AWS CloudFormation

Der von erstellte AWS API-Aufrufverlauf CloudTrail ermöglicht Sicherheitsanalysen, die Nachverfolgung von Ressourcenänderungen und die Überprüfung der Einhaltung von Vorschriften. Multi-Regions-Trails bieten auch die folgenden Vorteile.
+ Ein Multi-Regions-Trail hilft, unerwartete Aktivitäten zu erkennen, die in ansonsten nicht verwendeten Regionen auftreten.
+ Ein Multi-Regions-Trail stellt sicher, dass Global Service Event Logging standardmäßig für einen Trail aktiviert ist. Die globale Protokollierung von Serviceereignissen zeichnet Ereignisse auf, die von AWS globalen Diensten generiert wurden.
+ Bei einem Trail mit mehreren Regionen stellen Verwaltungsereignisse für alle Lese- und Schreibvorgänge sicher, dass die Verwaltungsvorgänge für alle Ressourcen in einem CloudTrail AWS-Konto aufgezeichnet werden.

Standardmäßig handelt es sich bei CloudTrail Pfaden, die mit dem AWS-Managementkonsole erstellt wurden, um Wanderwege mit mehreren Regionen.

### Abhilfe
<a name="cloudtrail-1-remediation"></a>

Informationen zum Erstellen eines neuen Wanderweges mit mehreren Regionen finden Sie unter [Erstellen eines Wanderweges](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) im *AWS CloudTrail Benutzerhandbuch*. CloudTrail Verwenden Sie die folgenden Werte:


| Feld | Value (Wert) | 
| --- | --- | 
|  Zusätzliche Einstellungen, Überprüfung der Protokolldatei  |  Aktiviert  | 
|  Wählen Sie Protokollereignisse, Verwaltungsereignisse, API-Aktivität  |  **Lesen** und **Schreiben**. Deaktivieren Sie die Kontrollkästchen für Ausschlüsse.  | 

Informationen zum Aktualisieren eines vorhandenen Pfads finden Sie unter [Aktualisieren eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html) im *AWS CloudTrail Benutzerhandbuch*. Wählen Sie unter **Verwaltungsereignisse** für **API-Aktivität** die Optionen **Lesen** und **Schreiben** aus.

## [CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben
<a name="cloudtrail-2"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/3.5, CIS AWS Foundations Benchmark v1.2.0/2.7, CIS Foundations Benchmark v1.4.0/3.7, CIS AWS Foundations Benchmark v3.0.0/3.5, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 SI-7 (6), NIST.800-53.r5 SC-2 NIST.800-171.r2 3.3.8, PCI DSS v3.2.1/3.4, PCI DSS v4.0.1/3.4 10.3.2 AWS NIST.800-53.r5 SC-7

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::CloudTrail::Trail`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob CloudTrail es für die Verwendung der serverseitigen Verschlüsselung (SSE) AWS KMS key konfiguriert ist. Das Steuerelement schlägt fehl, wenn das `KmsKeyId` nicht definiert ist.

Für eine zusätzliche Sicherheitsebene für Ihre vertraulichen CloudTrail Protokolldateien sollten Sie die [serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) für Ihre CloudTrail Protokolldateien für die Verschlüsselung im Ruhezustand verwenden. Beachten Sie, dass die Protokolldateien, die CloudTrail an Ihre Buckets gesendet werden, standardmäßig durch [serverseitige Amazon-Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)) verschlüsselt werden. 

### Abhilfe
<a name="cloudtrail-2-remediation"></a>

*Informationen zur Aktivierung der SSE-KMS-Verschlüsselung für CloudTrail Protokolldateien finden Sie unter [Aktualisieren eines Pfads zur Verwendung eines](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail) KMS-Schlüssels im Benutzerhandbuch.AWS CloudTrail *

## [CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein
<a name="cloudtrail-3"></a>

**Verwandte Anforderungen:** NIST.800-171.R2 3.3.1, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, PCI DSS v3.2.1/10.2.2, PCI DSS v3.2.1/10.2.3, PCI DSS v3.2.1/10.2.4, PCI DSS v3.2.1/10.2.5, PCI DSS v3.2.1/10.2.6, PCI DSS v3.2.1/10.2.7, PCI DSS v3.2.1/10.3.1, PCI DSS v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, PCI DSS v4.0.1/10.2.1

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob in Ihrem ein AWS CloudTrail Trail aktiviert ist AWS-Konto. Die Kontrolle schlägt fehl, wenn für Ihr Konto nicht mindestens ein CloudTrail Trail aktiviert ist.

Einige AWS Dienste ermöglichen jedoch nicht die Protokollierung aller APIs Ereignisse. Sie sollten alle zusätzlichen Prüfpfade einrichten, mit CloudTrail Ausnahme der Dokumentation der einzelnen Dienste [CloudTrail unter Unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html).

### Abhilfe
<a name="cloudtrail-3-remediation"></a>

Informationen zu den ersten CloudTrail Schritten und zur Erstellung eines Trails finden Sie im [AWS CloudTrail Tutorial Erste Schritte mit](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) im *AWS CloudTrail Benutzerhandbuch*.

## [CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein
<a name="cloudtrail-4"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/3.2, CIS Foundations Benchmark v1.2.0/2.2, CIS AWS Foundations Benchmark v1.4.0/3.2, CIS AWS AWS Foundations Benchmark v3.0.0/3.2, NIst.800-53.R5 AU-9, NIST.800-53.R5 SI-4, NIst.800-53.R5 SI-7 (1), NIST.800-53.R5 SI-7 (3), NIST.800-53.R5 SI-7 (3) R5 SI-7 (7), NIST.800-171.R2 3.3.8, PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, PCI DSS v4.0.1/10.3.2

**Kategorie:** Datenschutz > Datenintegrität

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::CloudTrail::Trail`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement überprüft in einem CloudTrail Trail, ob die Integritätsprüfung der Protokolldatei aktiviert ist.

CloudTrail Bei der Überprüfung der Protokolldatei wird eine digital signierte Digest-Datei erstellt, die einen Hash jedes Protokolls enthält, das in Amazon S3 CloudTrail geschrieben wird. Sie können diese Digest-Dateien verwenden, um festzustellen, ob eine Protokolldatei nach CloudTrail der Übermittlung des Protokolls geändert, gelöscht oder unverändert wurde.

Security Hub CSPM empfiehlt, dass Sie die Dateiüberprüfung auf allen Wegen aktivieren. Die Protokolldateivalidierung bietet zusätzliche Integritätsprüfungen von CloudTrail Protokollen.

### Abhilfe
<a name="cloudtrail-4-remediation"></a>

Informationen zum Aktivieren der CloudTrail Protokolldateivalidierung finden Sie unter [Aktivieren der Überprüfung der Integrität von AWS CloudTrail Protokolldateien CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) *im Benutzerhandbuch*.

## [CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden
<a name="cloudtrail-5"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/3.4, PCI DSS v3.2.1/10.5.3, CIS Foundations Benchmark v1.2.0/2.4, CIS AWS Foundations Benchmark v1.4.0/3.4, NIST.800-53.r5 AC-2 (4), (26), (9), (9), NIST.800-53.R5 SI-20, NIST.800-53.r5 SI-4 NIST.800-53.r5 AC-6 (20), Nist.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20), Nist.800-53.r5 SI-4 (20) NIST.800-53.R5 SI-4 (5), NIST.800-53.R5 SI-7 (8) AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::CloudTrail::Trail`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob CloudTrail Trails so konfiguriert sind, dass sie Logs an CloudWatch Logs senden. Die Steuerung schlägt fehl, wenn die `CloudWatchLogsLogGroupArn` Eigenschaft des Trails leer ist.

CloudTrail zeichnet AWS API-Aufrufe auf, die in einem bestimmten Konto getätigt werden. Die aufgezeichneten Informationen umfassen Folgendes:
+ Die Identität des API-Aufrufers
+ Die Uhrzeit des API-Aufrufs
+ Die Quell-IP-Adresse des API-Aufrufers
+ Die Anforderungsparameter
+ Die Antwortelemente, die von der zurückgegeben wurden AWS-Service

CloudTrail verwendet Amazon S3 für die Speicherung und Lieferung von Protokolldateien. Sie können CloudTrail Protokolle für langfristige Analysen in einem bestimmten S3-Bucket erfassen. Um Echtzeitanalysen durchzuführen, können Sie so konfigurieren, dass CloudWatch Protokolle CloudTrail an Logs gesendet werden.

 CloudTrail Sendet bei einem Trail, der in allen Regionen eines Kontos aktiviert ist, Protokolldateien aus all diesen Regionen an eine CloudWatch Logs-Protokollgruppe.

Security Hub CSPM empfiehlt, dass Sie CloudTrail Protokolle an Logs senden CloudWatch . Beachten Sie, dass mit dieser Empfehlung sichergestellt werden soll, dass Kontoaktivitäten erfasst, überwacht und entsprechend alarmiert werden. Sie können CloudWatch Logs verwenden, um dies mit Ihrem AWS-Services einzurichten. Diese Empfehlung schließt die Verwendung einer anderen Lösung nicht aus.

Das Senden von CloudTrail CloudWatch Protokollen an Logs ermöglicht die Protokollierung von Aktivitäten in Echtzeit und im Verlauf auf der Grundlage von Benutzer, API, Ressource und IP-Adresse. Mit diesem Ansatz können Sie Alarme und Benachrichtigungen für ungewöhnliche oder sensible Kontoaktivitäten einrichten.

### Abhilfe
<a name="cloudtrail-5-remediation"></a>

Informationen zur Integration CloudTrail mit CloudWatch Logs finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Ereignisse an CloudWatch Logs senden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html).

## [CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist
<a name="cloudtrail-6"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/2.3, CIS Foundations Benchmark v1.4.0/3.3, PCI DSS AWS v4.0.1/1.4.4

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp:** Periodisch und durch Änderung ausgelöst

**Parameter:** Keine

CloudTrail protokolliert eine Aufzeichnung jedes API-Aufrufs, der in Ihrem Konto getätigt wurde. Diese Protokolldateien werden in einem S3-Bucket gespeichert. CIS empfiehlt, die S3-Bucket-Richtlinie oder Zugriffskontrollliste (ACL) auf den S3-Bucket anzuwenden, der CloudTrail protokolliert, um den öffentlichen Zugriff auf die CloudTrail Protokolle zu verhindern. Wenn der öffentliche Zugriff auf CloudTrail Protokollinhalte gewährt wird, kann dies einem Angreifer dabei helfen, Schwachstellen in der Nutzung oder Konfiguration des betroffenen Kontos zu erkennen.

Um diese Prüfung durchzuführen, verwendet Security Hub CSPM zunächst benutzerdefinierte Logik, um nach dem S3-Bucket zu suchen, in dem Ihre CloudTrail Logs gespeichert sind. Anschließend überprüft es anhand der AWS Config verwalteten Regeln, ob der Bucket öffentlich zugänglich ist.

Wenn Sie Ihre Logs in einem einzigen zentralen S3-Bucket zusammenfassen, führt Security Hub CSPM die Prüfung nur für das Konto und die Region durch, in der sich der zentrale S3-Bucket befindet. Für andere Konten und Regionen lautet der Kontrollstatus **Keine Daten.**

Wenn der Bucket öffentlich zugänglich ist, generiert die Prüfung einen Fehlschlag.

### Abhilfe
<a name="cloudtrail-6-remediation"></a>

Informationen zum Blockieren des öffentlichen Zugriffs auf Ihren CloudTrail S3-Bucket finden Sie unter [Konfiguration der Einstellungen zum Blockieren des öffentlichen Zugriffs für Ihre S3-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. Wählen Sie alle vier Amazon S3 Block Public Access-Einstellungen aus.

## [CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist
<a name="cloudtrail-7"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/2.6, CIS Foundations Benchmark v1.4.0/3.6, CIS AWS Foundations Benchmark v3.0.0/3.4, PCI DSS AWS v4.0.1/10.2.1

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Die S3-Bucket-Zugriffsprotokollierung generiert ein Protokoll, das Zugriffsdatensätze für jede Anfrage an Ihren S3-Bucket enthält. Ein Zugriffsprotokoll-Datensatz enthält Details über jede Anfrage, wie beispielsweise den Anforderungstyp, die in der Anfrage angeforderten Ressource sowie Uhrzeit und Datum der Anfrage.

CIS empfiehlt, die Bucket-Zugriffsprotokollierung für den CloudTrail S3-Bucket zu aktivieren.

Durch das Aktivieren der S3-Bucket-Protokollierung für Ziel-S3-Buckets können Sie alle Ereignisse erfassen, die Auswirkungen auf Objekte in einem Ziel-Bucket haben können. Wenn Protokolle so konfiguriert sind, dass sie in einem separaten Bucket platziert werden, haben Sie Zugang zu Protokollinformationen, die in Sicherheits- und Vorfallreaktions-Workflows hilfreich sein können.

Um diese Prüfung durchzuführen, verwendet Security Hub CSPM zunächst benutzerdefinierte Logik, um nach dem Bucket zu suchen, in dem Ihre CloudTrail Protokolle gespeichert sind, und verwendet dann die AWS Config verwaltete Regel, um zu überprüfen, ob die Protokollierung aktiviert ist.

Wenn CloudTrail Protokolldateien von mehreren AWS-Konten in einen einzigen Amazon S3 S3-Ziel-Bucket übertragen werden, bewertet Security Hub CSPM diese Kontrolle nur anhand des Ziel-Buckets in der Region, in der er sich befindet. Dadurch werden Ihre Ergebnisse optimiert. Sie sollten diese Option jedoch CloudTrail in allen Konten aktivieren, die Logs an den Ziel-Bucket senden. Für alle Konten außer dem Konto, das den Ziel-Bucket enthält, lautet der Kontrollstatus **Keine Daten**.

### Abhilfe
<a name="cloudtrail-7-remediation"></a>

Informationen zum Aktivieren der Serverzugriffsprotokollierung für Ihren CloudTrail S3-Bucket finden Sie unter [Aktivieren der Amazon S3 S3-Serverzugriffsprotokollierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging) im *Amazon Simple Storage Service-Benutzerhandbuch*.

## [CloudTrail.9] CloudTrail Wege sollten markiert werden
<a name="cloudtrail-9"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::CloudTrail::Trail`

**AWS Config Regel:** `tagged-cloudtrail-trail` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein AWS CloudTrail Trail Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn der Trail keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Trail mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="cloudtrail-9-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem CloudTrail Trail finden Sie [AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)in der *AWS CloudTrail API-Referenz*.

## [CloudTrail.10] Event-Datenspeicher in CloudTrail Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys
<a name="cloudtrail-10"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 (6)

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::CloudTrail::EventDataStore`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Eine Liste von Amazon-Ressourcennamen (ARNs) AWS KMS keys , die in die Bewertung aufgenommen werden sollen. Das Steuerelement generiert einen `FAILED` Befund, wenn ein Ereignisdatenspeicher nicht mit einem KMS-Schlüssel in der Liste verschlüsselt ist.  |  StringList (maximal 3 Elemente)  |  1—3 ARNs der vorhandenen KMS-Schlüssel. Beispiel: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS CloudTrail Lake-Ereignisdatenspeicher im Ruhezustand verschlüsselt ist und von einem Kunden verwaltet AWS KMS key wird. Die Steuerung schlägt fehl, wenn der Ereignisdatenspeicher nicht mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt ist. Sie können optional eine Liste von KMS-Schlüsseln angeben, die das Steuerelement in die Bewertung einbeziehen soll.

Standardmäßig verschlüsselt AWS CloudTrail Lake Ereignisdatenspeicher mit Amazon S3 S3-verwalteten Schlüsseln (SSE-S3) unter Verwendung eines AES-256-Algorithmus. Für zusätzliche Kontrolle können Sie CloudTrail Lake so konfigurieren, dass stattdessen ein vom Kunden verwalteter Ereignisdatenspeicher (SSE-KMS) verschlüsselt wird. AWS KMS key Ein kundenverwalteter KMS-Schlüssel ist ein Schlüssel AWS KMS key , den Sie in Ihrem erstellen, besitzen und verwalten. AWS-Konto Sie haben die volle Kontrolle über diese Art von KMS-Schlüssel. Dazu gehören die Definition und Pflege der Schlüsselrichtlinie, die Verwaltung von Zuschüssen, die Rotation von kryptografischem Material, die Zuweisung von Tags, die Erstellung von Aliasnamen sowie die Aktivierung und Deaktivierung des Schlüssels. Sie können einen vom Kunden verwalteten KMS-Schlüssel für kryptografische Operationen für Ihre CloudTrail Daten verwenden und die Nutzung anhand von Protokollen überprüfen. CloudTrail 

### Abhilfe
<a name="cloudtrail-10-remediation"></a>

Informationen zum Verschlüsseln eines AWS CloudTrail Lake-Ereignisdatenspeichers mit einem AWS KMS key von Ihnen angegebenen Datenspeicher finden Sie unter [Aktualisieren eines Ereignisdatenspeichers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html) im *AWS CloudTrail Benutzerhandbuch*. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.

# Security Hub CSPM-Steuerungen für Amazon CloudWatch
<a name="cloudwatch-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den CloudWatch Service und die Ressourcen von Amazon. Die Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein
<a name="cloudwatch-1"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/1.1, CIS Foundations Benchmark v1.2.0/3.3, CIS AWS Foundations Benchmark v1.4.0/1.7, CIS Foundations Benchmark v1.4.0/4.3, AWS NIST.800-171.R2 3.14.6, NIST.800-171.r2 3.14.7, AWS PCI DSS v3.2.1/7.2.1

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Ressourcentyp**:**,,, `AWS::SNS::Topic`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Der Root-Benutzer hat uneingeschränkten Zugriff auf alle Dienste und Ressourcen in einem AWS-Konto. Wir empfehlen dringend, den Root-Benutzer nicht für tägliche Aufgaben zu verwenden. Durch die Minimierung der Nutzung des Root-Benutzers und die Anwendung des Prinzips der geringsten Rechte für die Zugriffsverwaltung wird das Risiko unbeabsichtigter Änderungen und der unbeabsichtigten Offenlegung hochberechtigter Anmeldeinformationen verringert.

Es hat sich bewährt, Ihre Root-Benutzeranmeldedaten nur dann zu verwenden, wenn sie für die [Durchführung von Konto- und Dienstverwaltungsaufgaben](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html) erforderlich sind. Wenden Sie AWS Identity and Access Management (IAM-) Richtlinien direkt auf Gruppen und Rollen an, aber nicht auf Benutzer. *Ein Tutorial zur Einrichtung eines Administrators für den täglichen Gebrauch finden Sie im [IAM-Benutzerhandbuch unter Erstellen Ihres ersten IAM-Admin-Benutzers und Ihrer ersten Gruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)*

Um diese Prüfung durchzuführen, verwendet Security Hub CSPM eine benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 1.7 im [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

**Anmerkung**  
Wenn Security Hub CSPM die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.  
Die Prüfung führt in den folgenden Fällen zu `FAILED` Ergebnissen:  
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus von`NO_DATA`:  
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.  
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von `NO_DATA` für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. `ListSubscriptionsByTopic` Andernfalls generiert Security Hub CSPM `WARNING` Ergebnisse für die Kontrolle.

### Abhilfe
<a name="cloudwatch-1-remediation"></a>

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Amazon Simple Notification Service Developer Guide*. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

1. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

1. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Metrikfilter für eine Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

1. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind
<a name="cloudwatch-2"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/3.1, NIST.800-171.R2 3.13.1, NIST.800-171.r2 3.14.6, NIST.800-171.R2 3.14.7

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Ressourcentyp**:**,,, `AWS::SNS::Topic`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch 

CIS empfiehlt, einen metrischen Filter und einen Alarm für nicht autorisierte API-Aufrufe zu erstellen. Die Überwachung nicht autorisierter API-Aufrufe hilft, Anwendungsfehler aufzudecken, und kann die Erkennung böswilliger Aktivitäten beschleunigen.

Um diese Prüfung durchzuführen, verwendet Security Hub CSPM benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 3.1 im [CIS AWS Foundations Benchmark](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) v1.2 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

**Anmerkung**  
Wenn Security Hub CSPM die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.  
Die Prüfung führt in den folgenden Fällen zu `FAILED` Ergebnissen:  
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus von`NO_DATA`:  
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.  
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von `NO_DATA` für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. `ListSubscriptionsByTopic` Andernfalls generiert Security Hub CSPM `WARNING` Ergebnisse für die Kontrolle.

### Abhilfe
<a name="cloudwatch-2-remediation"></a>

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Amazon Simple Notification Service Developer Guide*. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

1. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

1. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Metrikfilter für eine Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

1. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind
<a name="cloudwatch-3"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/3.2

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

**Ressourcentyp:**`AWS::Logs::MetricFilter`,,, `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` `AWS::SNS::Topic`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch 

CIS empfiehlt, einen Metrikfilter und Alarm-Konsolen-Logins zu erstellen, die nicht durch MFA geschützt sind. Durch die Überwachung zur Feststellung von Single-Factor-Konsolenanmeldungen wird die Transparenz im Hinblick auf Konten ohne MFA-Schutz gesteigert. 

Um diese Prüfung durchzuführen, verwendet Security Hub CSPM benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 3.2 im [CIS AWS Foundations Benchmark](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) v1.2 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

**Anmerkung**  
Wenn Security Hub CSPM die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.  
Die Prüfung führt in den folgenden Fällen zu `FAILED` Ergebnissen:  
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus von`NO_DATA`:  
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.  
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von `NO_DATA` für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. `ListSubscriptionsByTopic` Andernfalls generiert Security Hub CSPM `WARNING` Ergebnisse für die Kontrolle.

### Abhilfe
<a name="cloudwatch-3-remediation"></a>

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Amazon Simple Notification Service Developer Guide*. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

1. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

1. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Metrikfilter für eine Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

1. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind
<a name="cloudwatch-4"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/3.4, CIS Foundations Benchmark v1.4.0/4.4, NIST.800-171.R2 3.14.6, AWS NIST.800-171.R2 3.14.7

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Ressourcentyp**:**,, `AWS::SNS::Topic`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Dieses Steuerelement prüft, ob Sie API-Aufrufe in Echtzeit überwachen, indem es CloudTrail CloudWatch Protokolle an Logs weiterleitet und entsprechende Metrikfilter und Alarme einrichtet.

CIS empfiehlt, einen Metrikfilter und einen Alarm für Änderungen an den IAM-Richtlinien zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass Authentifizierungs- und Autorisierungskontrollen intakt bleiben.

**Anmerkung**  
Wenn Security Hub CSPM die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.  
Die Prüfung führt in den folgenden Fällen zu `FAILED` Ergebnissen:  
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus von`NO_DATA`:  
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.  
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von `NO_DATA` für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. `ListSubscriptionsByTopic` Andernfalls generiert Security Hub CSPM `WARNING` Ergebnisse für die Kontrolle.

### Abhilfe
<a name="cloudwatch-4-remediation"></a>

**Anmerkung**  
Unser empfohlenes Filtermuster für diese Behebungsschritte unterscheidet sich von dem Filtermuster in den CIS-Leitlinien. Unsere empfohlenen Filter zielen nur auf Ereignisse ab, die aus IAM-API-Aufrufen stammen.

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Amazon Simple Notification Service Developer Guide*. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

1. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

1. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Metrikfilter für eine Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

1. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind
<a name="cloudwatch-5"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/3.5, CIS Foundations Benchmark v1.4.0/4.5, NIST.800-171.R2 3.3.8, AWS NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Ressourcentyp**:**,,, `AWS::SNS::Topic`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch 

CIS empfiehlt, einen metrischen Filter und einen Alarm für Änderungen an den CloudTrail Konfigurationseinstellungen zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass die Transparenz für Aktivitäten in diesem Konto erhalten bleibt.

Um diese Prüfung durchzuführen, verwendet Security Hub CSPM eine benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.5 im [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

**Anmerkung**  
Wenn Security Hub CSPM die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.  
Die Prüfung führt in den folgenden Fällen zu `FAILED` Ergebnissen:  
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus von`NO_DATA`:  
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.  
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von `NO_DATA` für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. `ListSubscriptionsByTopic` Andernfalls generiert Security Hub CSPM `WARNING` Ergebnisse für die Kontrolle.

### Abhilfe
<a name="cloudwatch-5-remediation"></a>

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Amazon Simple Notification Service Developer Guide*. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

1. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

1. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Metrikfilter für eine Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

1. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind
<a name="cloudwatch-6"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/3.6, CIS Foundations Benchmark v1.4.0/4.6, NIST.800-171.R2 AWS 3.14.6, NIST.800-171.R2 3.14.7

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Ressourcentyp**:**,, `AWS::SNS::Topic`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch 

CIS empfiehlt, einen Metrikfilter und einen Alarm für fehlgeschlagene Konsolenauthentifizierungsversuche zu erstellen. Durch die Überwachung fehlgeschlagenere Konsolenanmeldungen kann die Vorlaufzeit für die Erkennung von Brute-Force-Angriffsversuchen auf Anmeldeinformationen reduziert werden, durch die ein Indikator geliefert werden kann (wie z. B. eine Quell-IP), den Sie in anderen Ereigniskorrelationen verwenden können. 

Um diese Prüfung durchzuführen, verwendet Security Hub CSPM eine benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.6 im [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

**Anmerkung**  
Wenn Security Hub CSPM die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.  
Die Prüfung führt in den folgenden Fällen zu `FAILED` Ergebnissen:  
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus von`NO_DATA`:  
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.  
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von `NO_DATA` für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. `ListSubscriptionsByTopic` Andernfalls generiert Security Hub CSPM `WARNING` Ergebnisse für die Kontrolle.

### Abhilfe
<a name="cloudwatch-6-remediation"></a>

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Amazon Simple Notification Service Developer Guide*. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

1. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

1. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Metrikfilter für eine Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

1. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind
<a name="cloudwatch-7"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/3.7, CIS Foundations Benchmark v1.4.0/4.7, NIST.800-171.R2 3.13.10, AWS NIST.800-171.R2 3.13.16, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Ressourcentyp**:**,,, `AWS::SNS::Topic`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch 

CIS empfiehlt, einen Metrikfilter und einen Alarm für vom Kunden verwaltete Schlüssel zu erstellen, deren Status in „Deaktiviert“ oder „Geplantes Löschen“ geändert wurde. Mit deaktivierten oder gelöschten Schlüsseln verschlüsselte Daten sind nicht mehr zugänglich.

Um diese Prüfung durchzuführen, verwendet Security Hub CSPM eine benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.7 im [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden. Die Kontrolle schlägt auch fehl, wenn `ExcludeManagementEventSources` `kms.amazonaws.com`

**Anmerkung**  
Wenn Security Hub CSPM die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.  
Die Prüfung führt in den folgenden Fällen zu `FAILED` Ergebnissen:  
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus von`NO_DATA`:  
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.  
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von `NO_DATA` für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. `ListSubscriptionsByTopic` Andernfalls generiert Security Hub CSPM `WARNING` Ergebnisse für die Kontrolle.

### Abhilfe
<a name="cloudwatch-7-remediation"></a>

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Amazon Simple Notification Service Developer Guide*. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

1. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

1. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Metrikfilter für eine Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

1. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind
<a name="cloudwatch-8"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/3.8, CIS Foundations Benchmark v1.4.0/4.8, NIST.800-171.R2 AWS 3.14.6, NIST.800-171.R2 3.14.7

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Ressourcentyp**:**,, `AWS::SNS::Topic`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch 

CIS empfiehlt, einen Metrikfilter und einen Alarm für Änderungen an den S3-Bucket-Richtlinien zu erstellen. Durch das Überwachen dieser Änderungen können Sie die Zeit reduzieren, die zum Erkennen und Korrigieren permissiver Richtlinien für sensible S3-Buckets erforderlich ist.

Um diese Prüfung durchzuführen, verwendet Security Hub CSPM eine benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.8 im [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

**Anmerkung**  
Wenn Security Hub CSPM die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.  
Die Prüfung führt in den folgenden Fällen zu `FAILED` Ergebnissen:  
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus von`NO_DATA`:  
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.  
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von `NO_DATA` für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. `ListSubscriptionsByTopic` Andernfalls generiert Security Hub CSPM `WARNING` Ergebnisse für die Kontrolle.

### Abhilfe
<a name="cloudwatch-8-remediation"></a>

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Amazon Simple Notification Service Developer Guide*. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

1. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

1. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Metrikfilter für eine Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

1. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind
<a name="cloudwatch-9"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/3.9, CIS Foundations Benchmark v1.4.0/4.9, NIST.800-171.R2 3.3.8, AWS NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Ressourcentyp**:**,,, `AWS::SNS::Topic`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch 

CIS empfiehlt, einen metrischen Filter und einen Alarm für Änderungen an den AWS Config Konfigurationseinstellungen zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass die Transparenz im Hinblick auf Konfigurationselemente in diesem Konto erhalten bleibt.

Um diese Prüfung durchzuführen, verwendet Security Hub CSPM benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.9 im [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

**Anmerkung**  
Wenn Security Hub CSPM die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.  
Die Prüfung führt in den folgenden Fällen zu `FAILED` Ergebnissen:  
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus von`NO_DATA`:  
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.  
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von `NO_DATA` für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. `ListSubscriptionsByTopic` Andernfalls generiert Security Hub CSPM `WARNING` Ergebnisse für die Kontrolle.

### Abhilfe
<a name="cloudwatch-9-remediation"></a>

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Amazon Simple Notification Service Developer Guide*. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

1. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

1. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Metrikfilter für eine Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

1. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind
<a name="cloudwatch-10"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/3.10, CIS Foundations Benchmark v1.4.0/4.10, NIST.800-171.R2 3.14.6, AWS NIST.800-171.R2 3.14.7

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Ressourcentyp**:**,, `AWS::SNS::Topic`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch Sicherheitsgruppen sind ein zustandsorientierter Paketfilter zur Steuerung von ein- und ausgehendem Datenverkehr in einer VPC.

CIS empfiehlt, einen Metrikfilter und einen Alarm für Änderungen an Sicherheitsgruppen zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass -Ressourcen und -Services nicht unbeabsichtigt ungeschützt sind. 

Um diese Prüfung durchzuführen, verwendet Security Hub CSPM eine benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.10 im [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

**Anmerkung**  
Wenn Security Hub CSPM die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.  
Die Prüfung führt in den folgenden Fällen zu `FAILED` Ergebnissen:  
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus von`NO_DATA`:  
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.  
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von `NO_DATA` für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. `ListSubscriptionsByTopic` Andernfalls generiert Security Hub CSPM `WARNING` Ergebnisse für die Kontrolle.

### Abhilfe
<a name="cloudwatch-10-remediation"></a>

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Amazon Simple Notification Service Developer Guide*. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

1. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

1. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Metrikfilter für eine Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

1. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind
<a name="cloudwatch-11"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/3.11, CIS Foundations Benchmark v1.4.0/4.11, NIST.800-171.R2 3.14.6, AWS NIST.800-171.R2 3.14.7

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Ressourcentyp**:**,, `AWS::SNS::Topic`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch NACLs werden als zustandsloser Paketfilter verwendet, um den eingehenden und ausgehenden Verkehr für Subnetze in einer VPC zu kontrollieren.

CIS empfiehlt, einen Metrikfilter zu erstellen und bei Änderungen an einen Alarm auszulösen. NACLs Durch die Überwachung dieser Änderungen wird sichergestellt, dass AWS Ressourcen und Dienste nicht unbeabsichtigt offengelegt werden. 

Um diese Prüfung durchzuführen, verwendet Security Hub CSPM eine benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.11 im [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

**Anmerkung**  
Wenn Security Hub CSPM die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.  
Die Prüfung führt in den folgenden Fällen zu `FAILED` Ergebnissen:  
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus von`NO_DATA`:  
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.  
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von `NO_DATA` für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. `ListSubscriptionsByTopic` Andernfalls generiert Security Hub CSPM `WARNING` Ergebnisse für die Kontrolle.

### Abhilfe
<a name="cloudwatch-11-remediation"></a>

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Amazon Simple Notification Service Developer Guide*. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

1. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

1. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Metrikfilter für eine Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

1. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind
<a name="cloudwatch-12"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/3.12, CIS Foundations Benchmark v1.4.0/4.12, NIST.800-171.R2 3.3.1, AWS NIST.800-171.R2 3.13.1

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Ressourcentyp**:**,, `AWS::SNS::Topic`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch Netzwerk-Gateways sind erforderlich, um Datenverkehr an ein Ziel außerhalb einer VPC zu senden und Datenverkehr von einem solchen Ziel zu empfangen.

CIS empfiehlt, einen metrischen Filter und einen Alarm für Änderungen an Netzwerk-Gateways zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass der gesamte eingehende und ausgehende Datenverkehr die VPC-Grenze über einen kontrollierten Pfad durchquert.

Um diese Prüfung durchzuführen, verwendet Security Hub CSPM benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.12 im [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.2 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

**Anmerkung**  
Wenn Security Hub CSPM die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.  
Die Prüfung führt in den folgenden Fällen zu `FAILED` Ergebnissen:  
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus von`NO_DATA`:  
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.  
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von `NO_DATA` für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. `ListSubscriptionsByTopic` Andernfalls generiert Security Hub CSPM `WARNING` Ergebnisse für die Kontrolle.

### Abhilfe
<a name="cloudwatch-12-remediation"></a>

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Amazon Simple Notification Service Developer Guide*. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

1. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

1. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Metrikfilter für eine Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

1. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind
<a name="cloudwatch-13"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/3.13, CIS Foundations Benchmark v1.4.0/4.13, NIST.800-171.R2 3.3.1, AWS NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Ressourcentyp**:**,,, `AWS::SNS::Topic`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Dieses Steuerelement prüft, ob Sie API-Aufrufe in Echtzeit überwachen, indem es CloudTrail CloudWatch Protokolle an Logs weiterleitet und entsprechende Metrikfilter und Alarme einrichtet. Routing-Tabellen leiten Netzwerkdatenverkehr zwischen Subnetzen und Netzwerk-Gateways weiter.

CIS empfiehlt, einen Metrikfilter und einen Alarm für Änderungen an Routing-Tabellen zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass sämtlicher VPC-Datenverkehr durch einen erwarteten Pfad fließt.

**Anmerkung**  
Wenn Security Hub CSPM die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.  
Die Prüfung führt in den folgenden Fällen zu `FAILED` Ergebnissen:  
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus von`NO_DATA`:  
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.  
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von `NO_DATA` für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. `ListSubscriptionsByTopic` Andernfalls generiert Security Hub CSPM `WARNING` Ergebnisse für die Kontrolle.

### Abhilfe
<a name="cloudwatch-13-remediation"></a>

**Anmerkung**  
Unser empfohlenes Filtermuster für diese Behebungsschritte unterscheidet sich von dem Filtermuster in den CIS-Leitlinien. Unsere empfohlenen Filter zielen nur auf Ereignisse ab, die aus API-Aufrufen von Amazon Elastic Compute Cloud (EC2) stammen.

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Amazon Simple Notification Service Developer Guide*. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

1. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

1. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Metrikfilter für eine Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

1. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind
<a name="cloudwatch-14"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/3.14, CIS Foundations Benchmark v1.4.0/4.14, NIST.800-171.R2 3.3.1, AWS NIST.800-171.r2 3.13.1, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Ressourcentyp**:**,,, `AWS::SNS::Topic`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch Sie können mehr als eine VPC in einem Konto haben und Sie können eine Peer-Verbindung zwischen zwei herstellen VPCs, sodass der Netzwerkverkehr zwischen VPCs ihnen weitergeleitet werden kann.

CIS empfiehlt, dass Sie einen metrischen Filter und einen Alarm für Änderungen an VPCs erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass Authentifizierungs- und Autorisierungskontrollen intakt bleiben.

Um diese Prüfung durchzuführen, verwendet Security Hub CSPM eine benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.14 im [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

**Anmerkung**  
Wenn Security Hub CSPM die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.  
Die Prüfung führt in den folgenden Fällen zu `FAILED` Ergebnissen:  
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus von`NO_DATA`:  
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.  
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von `NO_DATA` für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. `ListSubscriptionsByTopic` Andernfalls generiert Security Hub CSPM `WARNING` Ergebnisse für die Kontrolle.

### Abhilfe
<a name="cloudwatch-14-remediation"></a>

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Amazon Simple Notification Service Developer Guide*. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

1. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Pfads](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

1. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Metrikfilter für eine Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

1. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im * CloudWatch Amazon-Benutzerhandbuch* unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html). Verwenden Sie die folgenden Werte:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein
<a name="cloudwatch-15"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.R5 IR-4 (1), NIST.800-53.R5 IR-4 (5), NIST.800-53.R5 SI-2, NIst.800-53.R5 SI-20, NIST.800-53.R5 SI-4 (12), NIst.800-53.R5 SI-4 (5), NIst.800-171.R2 3.3.4, NIst.800-171.R2 3,14.6

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::CloudWatch::Alarm`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `alarmActionRequired`  |  Die Steuerung ermittelt, ob `PASSED` der Parameter auf eingestellt ist `true` und ob der Alarm eine Aktion ausführt, wenn der Alarmstatus zu wechselt. `ALARM`  |  Boolesch  |  Nicht anpassbar  |  `true`  | 
|  `insufficientDataActionRequired`  |  Die Steuerung ermittelt, `PASSED` ob der Parameter auf eingestellt ist `true` und ob der Alarm eine Aktion ausführt, wenn der Alarmstatus zu wechselt`INSUFFICIENT_DATA`.  |  Boolesch  |  `true` oder `false`  |  `false`  | 
|  `okActionRequired`  |  Die Steuerung gibt einen `PASSED` Befund aus, wenn der Parameter auf eingestellt ist `true` und der Alarm eine Aktion ausführt, wenn sich der Alarmstatus auf ändert`OK`.  |  Boolesch  |  `true` oder `false`  |  `false`  | 

Dieses Steuerelement prüft, ob für einen CloudWatch Amazon-Alarm mindestens eine Aktion für den `ALARM` Status konfiguriert ist. Die Steuerung schlägt fehl, wenn für den Alarm keine Aktion für den `ALARM` Status konfiguriert ist. Optional können Sie benutzerdefinierte Parameterwerte angeben, sodass auch Alarmaktionen für die `OK` Zustände `INSUFFICIENT_DATA` oder erforderlich sind.

**Anmerkung**  
Security Hub CSPM bewertet diese Steuerung anhand CloudWatch metrischer Alarme. Metrische Alarme können Teil von zusammengesetzten Alarmen sein, für die die angegebenen Aktionen konfiguriert sind. Die Steuerung generiert `FAILED` Ergebnisse in den folgenden Fällen:  
Die angegebenen Aktionen sind nicht für einen metrischen Alarm konfiguriert.
Der metrische Alarm ist Teil eines zusammengesetzten Alarms, für den die angegebenen Aktionen konfiguriert sind.

Diese Steuerung konzentriert sich darauf, ob für einen CloudWatch Alarm eine Alarmaktion konfiguriert ist, wohingegen sich [CloudWatch.17](#cloudwatch-17) auf den Aktivierungsstatus einer CloudWatch Alarmaktion konzentriert.

Wir empfehlen CloudWatch Alarmaktionen, um Sie automatisch zu benachrichtigen, wenn eine überwachte Metrik den definierten Schwellenwert überschreitet. Mithilfe von Überwachungsalarmen können Sie ungewöhnliche Aktivitäten erkennen und schnell auf Sicherheits- und Betriebsprobleme reagieren, wenn ein Alarm in einen bestimmten Zustand übergeht. Die häufigste Art von Alarmaktion besteht darin, einen oder mehrere Benutzer zu benachrichtigen, indem eine Nachricht an ein Amazon Simple Notification Service (Amazon SNS) -Thema gesendet wird.

### Abhilfe
<a name="cloudwatch-15-remediation"></a>

Informationen zu Aktionen, die von CloudWatch Alarmen unterstützt werden, finden Sie unter [Alarmaktionen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) im * CloudWatch Amazon-Benutzerhandbuch*.

## [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden
<a name="cloudwatch-16"></a>

**Kategorie:** Identifizieren > Protokollierung

**Verwandte Anforderungen:** NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-12

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Logs::LogGroup`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `minRetentionTime`  |  Mindestaufbewahrungsdauer in Tagen für Protokollgruppen CloudWatch   |  Enum  |  `365, 400, 545, 731, 1827, 3653`  |  `365`  | 

Diese Kontrolle prüft, ob eine CloudWatch Amazon-Protokollgruppe eine Aufbewahrungsfrist von mindestens der angegebenen Anzahl von Tagen hat. Die Kontrolle schlägt fehl, wenn die Aufbewahrungsdauer unter der angegebenen Anzahl liegt. Sofern Sie keinen benutzerdefinierten Parameterwert für den Aufbewahrungszeitraum angeben, verwendet Security Hub CSPM einen Standardwert von 365 Tagen.

CloudWatch Logs zentralisieren die Logs all Ihrer Systeme und Anwendungen AWS-Services in einem einzigen, hoch skalierbaren Service. Sie können CloudWatch Logs verwenden, um Ihre Protokolldateien von Amazon Elastic Compute Cloud (EC2) -Instances, Amazon Route 53 und anderen Quellen zu überwachen AWS CloudTrail, zu speichern und darauf zuzugreifen. Wenn Sie Ihre Logs mindestens ein Jahr lang aufbewahren, können Sie die Standards für die Aufbewahrung von Protokollen einhalten.

### Abhilfe
<a name="cloudwatch-16-remediation"></a>

Informationen zur Konfiguration der Protokollaufbewahrungseinstellungen finden Sie unter [Ändern der Aufbewahrung von Protokolldaten in CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) im * CloudWatch Amazon-Benutzerhandbuch*.

## [CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein
<a name="cloudwatch-17"></a>

**Kategorie:** Erkennung > Erkennungsservices

**Verwandte Anforderungen:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-4 (12)

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::CloudWatch::Alarm`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob CloudWatch Alarmaktionen aktiviert sind (`ActionEnabled`sollte auf true gesetzt sein). Die Steuerung schlägt fehl, wenn die Alarmaktion für einen CloudWatch Alarm deaktiviert ist.

**Anmerkung**  
Security Hub CSPM bewertet diese Steuerung anhand CloudWatch metrischer Alarme. Metrische Alarme können Teil von zusammengesetzten Alarmen sein, bei denen die Alarmaktionen aktiviert sind. Die Steuerung generiert `FAILED` Ergebnisse in den folgenden Fällen:  
Die angegebenen Aktionen sind nicht für einen metrischen Alarm konfiguriert.
Der metrische Alarm ist Teil eines zusammengesetzten Alarms, für den Alarmaktionen aktiviert sind.

Diese Steuerung konzentriert sich auf den Aktivierungsstatus einer CloudWatch Alarmaktion, wohingegen sich [CloudWatch.15](#cloudwatch-15) darauf konzentriert, ob eine `ALARM` Aktion in einem CloudWatch Alarm konfiguriert ist.

Alarmaktionen benachrichtigen Sie automatisch, wenn eine überwachte Metrik den definierten Schwellenwert überschreitet. Wenn die Alarmaktion deaktiviert ist, werden keine Aktionen ausgeführt, wenn sich der Status des Alarms ändert, und Sie werden nicht über Änderungen der überwachten Messwerte informiert. Wir empfehlen, CloudWatch Alarmaktionen zu aktivieren, damit Sie schnell auf Sicherheits- und Betriebsprobleme reagieren können.

### Abhilfe
<a name="cloudwatch-17-remediation"></a>

**Um eine CloudWatch Alarmaktion zu aktivieren (Konsole)**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich unter **Alarme** die Option **Alle Alarme** aus.

1. Wählen Sie den Alarm aus, für den Sie Aktionen aktivieren möchten.

1. **Wählen Sie für **Aktionen** die Option **Alarmaktionen — neu** und dann Aktivieren aus.**

Weitere Informationen zur Aktivierung von CloudWatch Alarmaktionen finden Sie unter [Alarmaktionen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) im * CloudWatch Amazon-Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für CodeArtifact
<a name="codeartifact-controls"></a>

Diese Security Hub CSPM-Steuerungen bewerten den AWS CodeArtifact Service und die Ressourcen.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden
<a name="codeartifact-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::CodeArtifact::Repository`

**AWS Config Regel:** `tagged-codeartifact-repository` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS CodeArtifact Repository Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn das Repository keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Repository mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="codeartifact-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem CodeArtifact Repository finden Sie unter [Markieren eines Repositorys CodeArtifact im AWS CodeArtifact](https://docs.aws.amazon.com/codeartifact/latest/ug/tag-repositories.html) *Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für CodeBuild
<a name="codebuild-controls"></a>

Diese Security Hub CSPM-Steuerungen bewerten den AWS CodeBuild Service und die Ressourcen.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten
<a name="codebuild-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 SA-3, PCI DSS v3.2.1/8.2.1, PCI DSS v4.0.1/8.3.2

**Kategorie:** Schutz > Sichere Entwicklung

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::CodeBuild::Project`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die URL AWS CodeBuild des Bitbucket-Quell-Repositorys eines Projekts persönliche Zugriffstoken oder einen Benutzernamen und ein Passwort enthält. Die Kontrolle schlägt fehl, wenn die URL des Bitbucket-Quell-Repositorys persönliche Zugriffstoken oder einen Benutzernamen und ein Passwort enthält.

**Anmerkung**  
Dieses Steuerelement bewertet sowohl die Primärquelle als auch die Sekundärquellen eines CodeBuild Build-Projekts. Weitere Informationen zu Projektquellen finden Sie im *AWS CodeBuild Benutzerhandbuch* unter [Beispiel für mehrere Eingabequellen und Ausgabeartefakte](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html).

Anmeldeinformationen sollten nicht im Klartext gespeichert oder übertragen werden oder in der Quell-Repository-URL erscheinen. Statt persönlicher Zugriffstoken oder Anmeldedaten solltest du auf deinen Quellanbieter zugreifen und deine Quell-Repository-URL so ändern CodeBuild, dass sie nur den Pfad zum Bitbucket-Repository-Speicherort enthält. Die Verwendung persönlicher Zugriffstoken oder Anmeldedaten könnte zu unbeabsichtigter Offenlegung von Daten oder unberechtigtem Zugriff führen.

### Abhilfe
<a name="codebuild-1-remediation"></a>

Sie können Ihr CodeBuild Projekt aktualisieren, um es zu verwenden. OAuth

**Um das persönliche Zugriffstoken für die Standardauthentifizierung/(GitHub) aus der CodeBuild Projektquelle zu entfernen**

1. Öffnen Sie die CodeBuild Konsole unter [https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/).

1. Wählen Sie das Build-Projekt aus, das persönliche Zugriffstoken oder einen Benutzernamen und ein Passwort enthält.

1. Wählen Sie unter **Edit (Bearbeiten)** die Option **Source (Quelle)** aus.

1. Wähle **Disconnect from GitHub //Bitbucket**.

1. Wähle **Connect using OAuth** und dann **Connect to GitHub//Bitbucket**.

1. Wenn Sie dazu aufgefordert werden, wählen Sie **Autorisieren entsprechend** aus.

1. Konfigurieren Sie Ihre Repository-URL und zusätzliche Konfigurationseinstellungen nach Bedarf neu.

1. Wählen Sie **Update source (Quelle aktualisieren)** aus.

Weitere Informationen findest du in den [CodeBuild Anwendungsbeispielen](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html) im *AWS CodeBuild Benutzerhandbuch*.

## [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten
<a name="codebuild-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 IA-5 (7), PCI DSS v3.2.1/8.2.1 NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2

**Kategorie:** Schutz > Sichere Entwicklung

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::CodeBuild::Project`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob das Projekt die Umgebungsvariablen `AWS_ACCESS_KEY_ID` und `AWS_SECRET_ACCESS_KEY` enthält.

Die Anmeldeinformationen für die Authentifizierung `AWS_ACCESS_KEY_ID` und `AWS_SECRET_ACCESS_KEY` sollten niemals in Klartext gespeichert werden, da dies zu einer unbeabsichtigten Datenoffenlegung und unbefugtem Zugriff führen kann.

### Abhilfe
<a name="codebuild-2-remediation"></a>

Informationen zum Entfernen von Umgebungsvariablen aus einem CodeBuild Projekt finden Sie [AWS CodeBuild im *AWS CodeBuild Benutzerhandbuch* unter Ändern der Einstellungen eines Build-Projekts](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html). Stellen Sie sicher, dass nichts für **Umgebungsvariablen** ausgewählt ist.

Sie können Umgebungsvariablen mit sensiblen Werten im AWS Systems Manager Parameterspeicher speichern oder AWS Secrets Manager sie dann aus Ihrer Build-Spezifikation abrufen. Anweisungen finden Sie im *AWS CodeBuild Benutzerhandbuch* im Feld „**Wichtig**[“ im Abschnitt „Umgebung“](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment).

## [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
<a name="codebuild-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 (6), PCI DSS v4.0.1/10.3.2

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::CodeBuild::Project`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob Amazon S3 S3-Protokolle für ein AWS CodeBuild Projekt verschlüsselt sind. Die Kontrolle schlägt fehl, wenn die Verschlüsselung für S3-Protokolle für ein CodeBuild Projekt deaktiviert ist.

Die Verschlüsselung von Daten im Ruhezustand ist eine empfohlene bewährte Methode, um Ihre Daten um eine Ebene der Zugriffsverwaltung zu erweitern. Durch die Verschlüsselung der Protokolle im Ruhezustand AWS wird das Risiko verringert, dass ein Benutzer, der sich nicht authentifiziert hat, auf die auf der Festplatte gespeicherten Daten zugreift. Es fügt weitere Zugriffskontrollen hinzu, um den Zugriff nicht autorisierter Benutzer auf die Daten einzuschränken. 

### Abhilfe
<a name="codebuild-3-remediation"></a>

Informationen zum Ändern der Verschlüsselungseinstellungen für CodeBuild Projekt-S3-Protokolle finden Sie [AWS CodeBuild im *AWS CodeBuild Benutzerhandbuch* unter Ändern der Einstellungen eines Build-Projekts](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html).

## [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben
<a name="codebuild-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.r5 SI-7 (8)

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::CodeBuild::Project`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine CodeBuild Projektumgebung über mindestens eine Protokolloption verfügt, entweder für S3 oder ob CloudWatch Protokolle aktiviert sind. Dieses Steuerelement schlägt fehl, wenn in einer CodeBuild Projektumgebung nicht mindestens eine Protokolloption aktiviert ist. 

Aus Sicherheitsgründen ist die Protokollierung eine wichtige Funktion, um future forensische Maßnahmen im Falle von Sicherheitsvorfällen zu ermöglichen. Die Korrelation von Anomalien in CodeBuild Projekten mit Bedrohungserkennungen kann das Vertrauen in die Genauigkeit dieser Bedrohungserkennungen erhöhen.

### Abhilfe
<a name="codebuild-4-remediation"></a>

Weitere Informationen zur Konfiguration der CodeBuild Projektprotokolleinstellungen finden Sie im Benutzerhandbuch unter [Erstellen eines Build-Projekts (Konsole)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs). CodeBuild 

## [CodeBuild.5] In CodeBuild Projektumgebungen sollte der privilegierte Modus nicht aktiviert sein
<a name="codebuild-5"></a>

**Wichtig**  
Security Hub CSPM hat diese Kontrolle im April 2024 eingestellt. Weitere Informationen finden Sie unter [Änderungsprotokoll für Security Hub CSPM-Steuerelemente](controls-change-log.md).

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

**Kategorie:** Schützen > Sicheres Zugriffsmanagement

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::CodeBuild::Project`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob in einer AWS CodeBuild Projektumgebung der privilegierte Modus aktiviert oder deaktiviert ist. Die Steuerung schlägt fehl, wenn in einer CodeBuild Projektumgebung der privilegierte Modus aktiviert ist.

Standardmäßig erlauben Docker-Container keinen Zugriff auf Geräte. Der privilegierte Modus gewährt dem Docker-Container eines Build-Projekts Zugriff auf alle Geräte. Die Einstellung `privilegedMode` mit einem Wert `true` ermöglicht es dem Docker-Daemon, in einem Docker-Container ausgeführt zu werden. Der Docker-Daemon wartet auf Docker-API-Anfragen und verwaltet Docker-Objekte wie Images, Container, Netzwerke und Volumes. Dieser Parameter sollte nur auf true gesetzt werden, wenn das Build-Projekt zum Erstellen von Docker-Images verwendet wird. Andernfalls sollte diese Einstellung deaktiviert werden, um einen unbeabsichtigten Zugriff auf Docker APIs sowie auf die dem Container zugrunde liegende Hardware zu verhindern. Die Einstellung `privilegedMode` auf `false` trägt dazu bei, kritische Ressourcen vor Manipulation und Löschung zu schützen.

### Abhilfe
<a name="codebuild-5-remediation"></a>

Informationen zum Konfigurieren der Einstellungen für die CodeBuild Projektumgebung finden [Sie im *CodeBuild Benutzerhandbuch* unter Erstellen eines Build-Projekts (Konsole)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment). Wählen Sie im Abschnitt **Umgebung** nicht die Einstellung **Privilegiert** aus.

## [CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
<a name="codebuild-7"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::CodeBuild::ReportGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Testergebnisse einer AWS CodeBuild Berichtsgruppe, die in einen Amazon Simple Storage Service (Amazon S3) -Bucket exportiert werden, im Ruhezustand verschlüsselt sind. Die Kontrolle schlägt fehl, wenn der Export der Berichtsgruppe im Ruhezustand nicht verschlüsselt ist.

Daten im Ruhezustand beziehen sich auf Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch die Verschlüsselung ruhender Daten können Sie deren Vertraulichkeit schützen, wodurch das Risiko verringert wird, dass ein nicht autorisierter Benutzer darauf zugreifen kann.

### Abhilfe
<a name="codebuild-7-remediation"></a>

Informationen zur Verschlüsselung des Exports von Berichtsgruppen nach S3 finden Sie unter [Aktualisieren einer Berichtsgruppe](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html) im *AWS CodeBuild Benutzerhandbuch*.

# Security Hub CSPM-Steuerelemente für Amazon Profiler CodeGuru
<a name="codeguruprofiler-controls"></a>

Diese Security Hub CSPM-Steuerungen bewerten den Service und die Ressourcen von Amazon CodeGuru Profiler.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden
<a name="codeguruprofiler-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::CodeGuruProfiler::ProfilingGroup`

**AWS Config -Regel: ** `codeguruprofiler-profiling-group-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon CodeGuru Profiler-Profiling-Gruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind. `requiredKeyTags` Die Kontrolle schlägt fehl, wenn die Profiling-Gruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat. `requiredKeyTags` Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Profilerstellungsgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="codeguruprofiler-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer CodeGuru Profiler-Profiling-Gruppe finden Sie unter [Tagging Profiling Groups](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/tagging-profiling-groups.html) im *Amazon CodeGuru * Profiler-Benutzerhandbuch.

# Security Hub CSPM-Steuerungen für Amazon Reviewer CodeGuru
<a name="codegurureviewer-controls"></a>

Diese Security Hub CSPM-Kontrollen bewerten den Service und die Ressourcen von Amazon CodeGuru Reviewer.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
<a name="codegurureviewer-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::CodeGuruReviewer::RepositoryAssociation`

**AWS Config -Regel: ** `codegurureviewer-repository-association-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon CodeGuru Reviewer-Repository-Zuordnung Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredKeyTags`. Die Kontrolle schlägt fehl, wenn die Repository-Zuordnung keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Repository-Zuordnung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="codegurureviewer-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer CodeGuru Reviewer-Repository-Verknüpfung finden Sie unter [Markieren einer Repository-Verknüpfung](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/tag-repository-association.html) im *Amazon CodeGuru Reviewer-Benutzerhandbuch*.

# Security Hub CSPM-Steuerelemente für Amazon Cognito
<a name="cognito-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Cognito. Die Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein
<a name="cognito-1"></a>

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::Cognito::UserPool`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `SecurityMode`  |  Der Modus zur Durchsetzung des Bedrohungsschutzes, nach dem das Steuerelement sucht.  |  Zeichenfolge  |  `AUDIT`, `ENFORCED`  |  `ENFORCED`  | 

Diese Kontrolle prüft, ob in einem Amazon Cognito Cognito-Benutzerpool der Bedrohungsschutz aktiviert ist und der Erzwingungsmodus für die Standardauthentifizierung auf Vollfunktion eingestellt ist. Die Kontrolle schlägt fehl, wenn der Bedrohungsschutz für den Benutzerpool deaktiviert ist oder wenn der Erzwingungsmodus für die Standardauthentifizierung nicht auf volle Funktionalität eingestellt ist. Sofern Sie keine benutzerdefinierten Parameterwerte angeben, verwendet Security Hub CSPM den Standardwert für den Erzwingungsmodus, der `ENFORCED` für die Standardauthentifizierung auf Vollfunktion gesetzt ist.

Nachdem Sie einen Amazon Cognito Cognito-Benutzerpool erstellt haben, können Sie den Bedrohungsschutz aktivieren und die Maßnahmen anpassen, die als Reaktion auf verschiedene Risiken ergriffen werden. Oder Sie können den Überwachungsmodus verwenden, um Metriken zu erkannten Risiken zu sammeln, ohne Sicherheitsmaßnahmen ergreifen zu müssen. Im Auditmodus veröffentlicht Threat Protection Kennzahlen an Amazon CloudWatch. Sie können Metriken sehen, nachdem Amazon Cognito sein erstes Ereignis generiert hat.

### Abhilfe
<a name="cognito-1-remediation"></a>

Informationen zur Aktivierung des Bedrohungsschutzes für einen Amazon Cognito-Benutzerpool finden Sie unter [Erweiterte Sicherheit mit Bedrohungsschutz](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) im *Amazon Cognito Developer Guide*.

## [Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
<a name="cognito-2"></a>

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Cognito::IdentityPool`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon Cognito Cognito-Identitätspool so konfiguriert ist, dass er nicht authentifizierte Identitäten zulässt. Die Kontrolle schlägt fehl, wenn der Gastzugriff für den Identitätspool aktiviert ist (der `AllowUnauthenticatedIdentities` Parameter ist auf gesetzt`true`).

Wenn ein Amazon Cognito Cognito-Identitätspool nicht authentifizierte Identitäten zulässt, stellt der Identitätspool temporäre AWS Anmeldeinformationen für Benutzer bereit, die sich nicht über einen Identitätsanbieter authentifiziert haben (Gäste). Dies birgt Sicherheitsrisiken, da es anonymen Zugriff auf Ressourcen ermöglicht. AWS Wenn Sie den Gastzugriff deaktivieren, können Sie sicherstellen, dass nur ordnungsgemäß authentifizierte Benutzer auf Ihre AWS Ressourcen zugreifen können, wodurch das Risiko eines unbefugten Zugriffs und potenzieller Sicherheitsverletzungen verringert wird. Als bewährte Methode sollte ein Identitätspool die Authentifizierung durch unterstützte Identitätsanbieter erfordern. Wenn ein nicht authentifizierter Zugriff erforderlich ist, ist es wichtig, die Berechtigungen für nicht authentifizierte Identitäten sorgfältig einzuschränken und deren Verwendung regelmäßig zu überprüfen und zu überwachen.

### Abhilfe
<a name="cognito-2-remediation"></a>

Informationen zur Deaktivierung des Gastzugriffs für einen Amazon Cognito-Identitätspool finden Sie unter [Gastzugriff aktivieren oder deaktivieren](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities) im *Amazon Cognito* Developer Guide.

## [Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben
<a name="cognito-3"></a>

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::Cognito::UserPool`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `minLength`  | Die Mindestanzahl an Zeichen, die ein Passwort enthalten muss.  | Ganzzahl | `8` auf `128` | `8 ` | 
|  `requireLowercase`  | Erfordert mindestens einen Kleinbuchstaben in einem Passwort.  | Boolesch | `True`, `False` | `True`  | 
|  `requireUppercase`  | Erfordert mindestens einen Großbuchstaben in einem Passwort.  | Boolesch | `True`, `False` | `True`  | 
|  `requireNumbers`  | Erfordert mindestens eine Zahl in einem Passwort.  | Boolesch | `True`, `False` | `True`  | 
|  `requireSymbols`  | Erfordert mindestens ein Symbol in einem Passwort.  | Boolesch | `True`, `False` | `True`  | 
|  `temporaryPasswordValidity`  | Die maximale Anzahl von Tagen, die ein Passwort bestehen kann, bevor es abläuft.  | Ganzzahl | `7` auf `365` | `7`  | 

Dieses Steuerelement prüft, ob die Passwortrichtlinie für einen Amazon Cognito Cognito-Benutzerpool die Verwendung sicherer Passwörter erfordert, basierend auf den empfohlenen Einstellungen für Passwortrichtlinien. Die Kontrolle schlägt fehl, wenn die Passwortrichtlinie für den Benutzerpool keine sicheren Passwörter erfordert. Sie können optional benutzerdefinierte Werte für die Richtlinieneinstellungen angeben, die das Steuerelement überprüft.

Starke Passwörter sind eine bewährte Sicherheitsmethode für Amazon Cognito Cognito-Benutzerpools. Schwache Passwörter können dazu führen, dass Benutzeranmeldedaten Systemen zugänglich gemacht werden, die Passwörter erraten und versuchen, auf Daten zuzugreifen. Dies gilt insbesondere für Anwendungen, die offen für das Internet sind. Passwortrichtlinien sind ein zentrales Element der Sicherheit von Benutzerverzeichnissen. Mithilfe einer Kennwortrichtlinie können Sie einen Benutzerpool so konfigurieren, dass er die Komplexität von Kennwörtern und andere Einstellungen erfordert, die Ihren Sicherheitsstandards und -anforderungen entsprechen.

### Abhilfe
<a name="cognito-3-remediation"></a>

Informationen zum Erstellen oder Aktualisieren der Passwortrichtlinie für einen Amazon Cognito-Benutzerpool finden Sie unter [Passwortanforderungen für Benutzerpools hinzufügen](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies) im *Amazon Cognito Developer Guide*.

## [Cognito.4] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein
<a name="cognito-4"></a>

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::Cognito::UserPool`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob in einem Amazon Cognito Cognito-Benutzerpool der Bedrohungsschutz aktiviert ist und der Erzwingungsmodus für die benutzerdefinierte Authentifizierung auf Vollfunktion eingestellt ist. Die Kontrolle schlägt fehl, wenn für den Benutzerpool der Bedrohungsschutz deaktiviert ist oder wenn der Erzwingungsmodus für die benutzerdefinierte Authentifizierung nicht auf volle Funktionalität eingestellt ist.

Der Bedrohungsschutz, früher als erweiterte Sicherheitsfunktionen bezeichnet, besteht aus einer Reihe von Tools zur Überwachung unerwünschter Aktivitäten in Ihrem Benutzerpool sowie aus Konfigurationstools, mit denen potenziell bösartige Aktivitäten automatisch geschlossen werden. Nachdem Sie einen Amazon Cognito Cognito-Benutzerpool erstellt haben, können Sie den Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktivieren und die Maßnahmen anpassen, die als Reaktion auf verschiedene Risiken ergriffen werden. Der Vollfunktionsmodus umfasst eine Reihe von automatischen Reaktionen zur Erkennung unerwünschter Aktivitäten und kompromittierter Passwörter.

### Abhilfe
<a name="cognito-4-remediation"></a>

Informationen zur Aktivierung des Bedrohungsschutzes für einen Amazon Cognito-Benutzerpool finden Sie unter [Erweiterte Sicherheit mit Bedrohungsschutz](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) im *Amazon Cognito Developer Guide*.

## [Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein
<a name="cognito-5"></a>

**Kategorie: Schützen > Sicheres Zugriffsmanagement** > Multi-Faktor-Authentifizierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Cognito::UserPool`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob in einem Amazon Cognito Cognito-Benutzerpool, der mit einer Anmelderichtlinie nur mit Passwort konfiguriert ist, die Multi-Faktor-Authentifizierung (MFA) aktiviert ist. Die Steuerung schlägt fehl, wenn für den Benutzerpool, der mit einer rein kennwortgeschützten Anmelderichtlinie konfiguriert ist, MFA nicht aktiviert ist.

Die Multi-Faktor-Authentifizierung (MFA) fügt dem Faktor „Etwas, das Sie wissen“ (normalerweise Benutzername und Passwort) einen Authentifizierungsfaktor hinzu, den Sie haben. Für Verbundbenutzer delegiert Amazon Cognito die Authentifizierung an den Identitätsanbieter (IdP) und bietet keine zusätzlichen Authentifizierungsfaktoren. Wenn Sie jedoch lokale Benutzer mit Kennwortauthentifizierung haben, erhöht die Konfiguration von MFA für den Benutzerpool deren Sicherheit.

**Anmerkung**  
Diese Kontrolle gilt nicht für Verbundbenutzer und Benutzer, die sich mit kennwortlosen Faktoren anmelden.

### Abhilfe
<a name="cognito-5-remediation"></a>

Informationen zur Konfiguration von MFA für einen Amazon Cognito-Benutzerpool finden Sie unter [Hinzufügen von MFA zu einem Benutzerpool](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) im *Amazon Cognito* Developer Guide.

## [Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein
<a name="cognito-6"></a>

**Kategorie:** Schützen > Datenschutz > Schutz vor Datenlöschung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Cognito::UserPool`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für einen Amazon Cognito Cognito-Benutzerpool der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn der Löschschutz für den Benutzerpool deaktiviert ist.

Durch den Löschschutz wird sichergestellt, dass Ihr Benutzerpool nicht versehentlich gelöscht wird. Wenn Sie einen Benutzerpool mit Löschschutz konfigurieren, kann der Pool von keinem Benutzer gelöscht werden. Der Löschschutz verhindert, dass Sie das Löschen eines Benutzerpools anfordern, es sei denn, Sie ändern den Pool zuerst und deaktivieren den Löschschutz.

### Abhilfe
<a name="cognito-6-remediation"></a>

Informationen zum Konfigurieren des Löschschutzes für einen Amazon Cognito-Benutzerpool finden Sie unter [Löschschutz für Benutzerpools](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html) im *Amazon Cognito Developer Guide*.

# Security Hub CSPM-Steuerungen für AWS Config
<a name="config-controls"></a>

Diese Security Hub CSPM-Steuerungen bewerten den AWS Config Service und die Ressourcen.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden
<a name="config-1"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/3.3, CIS Foundations Benchmark v1.2.0/2.5, CIS AWS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, NIst.800-53.R5 CM-3, NIST.800-53.R5 CM-6 (1), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8 (2), PCI DSS vM-8 3.2.1/10.5.2, PCI DSS v3.2.1/11,5 AWS 

**Kategorie:** Identifizieren > Bestand

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::::Account`

**AWS Config Regel:** Keine (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `includeConfigServiceLinkedRoleCheck`  |  Das Steuerelement bewertet nicht, ob die serviceverknüpfte Rolle AWS Config verwendet wird, wenn der Parameter auf gesetzt ist. `false`  |  Boolesch  |  `true` oder `false`  |  `true`  | 

Dieses Steuerelement prüft, ob AWS Config es in Ihrem Konto aktuell aktiviert ist AWS-Region, zeichnet alle Ressourcen auf, die den in der aktuellen Region aktivierten Kontrollen entsprechen, und verwendet die [dienstverknüpfte Rolle AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html). Der Name der dienstbezogenen Rolle lautet. **AWSServiceRoleForConfig** Wenn Sie die dienstgebundene Rolle nicht verwenden und den `includeConfigServiceLinkedRoleCheck` Parameter nicht auf setzen, schlägt die Steuerung fehl`false`, da andere Rollen möglicherweise nicht über die erforderlichen Berechtigungen verfügen, AWS Config um Ihre Ressourcen korrekt aufzuzeichnen.

Der AWS Config Dienst führt die Konfigurationsverwaltung der unterstützten AWS Ressourcen in Ihrem Konto durch und übermittelt Ihnen Protokolldateien. Zu den aufgezeichneten Informationen gehören das Konfigurationselement (AWS Ressource), Beziehungen zwischen Konfigurationselementen und alle Konfigurationsänderungen innerhalb von Ressourcen. Globale Ressourcen sind Ressourcen, die in jeder Region verfügbar sind.

Die Kontrolle wird wie folgt bewertet:
+ Wenn die aktuelle Region als Ihre [Aggregationsregion](finding-aggregation.md) festgelegt ist, liefert das Steuerelement nur `PASSED` Ergebnisse, wenn globale AWS Identity and Access Management (IAM-) Ressourcen aufgezeichnet werden (sofern Sie Steuerelemente aktiviert haben, für die diese erforderlich sind).
+ Wenn die aktuelle Region als verknüpfte Region festgelegt ist, bewertet das Steuerelement nicht, ob globale IAM-Ressourcen aufgezeichnet wurden.
+ Wenn die aktuelle Region nicht in Ihrem Aggregator enthalten ist oder wenn in Ihrem Konto keine regionsübergreifende Aggregation eingerichtet ist, liefert das Steuerelement nur dann `PASSED` Ergebnisse, wenn globale IAM-Ressourcen aufgezeichnet werden (sofern Sie Steuerelemente aktiviert haben, die diese erfordern).

Die Kontrollergebnisse werden nicht davon beeinflusst, ob Sie sich für die tägliche oder kontinuierliche Aufzeichnung von Änderungen des Ressourcenstatus in entscheiden. AWS Config Die Ergebnisse dieser Steuerung können sich jedoch ändern, wenn neue Steuerelemente veröffentlicht werden, wenn Sie die automatische Aktivierung neuer Steuerelemente konfiguriert haben oder über eine zentrale Konfigurationsrichtlinie verfügen, die neue Kontrollen automatisch aktiviert. Wenn Sie in diesen Fällen nicht alle Ressourcen aufzeichnen, müssen Sie die Aufzeichnung für Ressourcen konfigurieren, die neuen Steuerelementen zugeordnet sind, um ein `PASSED` Ergebnis zu erhalten.

Security Hub CSPM-Sicherheitsprüfungen funktionieren nur dann wie vorgesehen, wenn Sie sie AWS Config in allen Regionen aktivieren und die Ressourcenaufzeichnung für Kontrollen konfigurieren, die dies erfordern.

**Anmerkung**  
Config.1 setzt voraus, dass dies in allen Regionen aktiviert AWS Config ist, in denen Sie Security Hub CSPM verwenden.  
Da es sich bei Security Hub CSPM um einen regionalen Dienst handelt, wird bei der für dieses Steuerelement durchgeführten Prüfung nur die aktuelle Region für das Konto ausgewertet.  
Um Sicherheitsüberprüfungen anhand globaler IAM-Ressourcen in einer Region zuzulassen, müssen Sie globale IAM-Ressourcen in dieser Region aufzeichnen. Regionen, in denen keine globalen IAM-Ressourcen erfasst sind, erhalten eine `PASSED` Standardbewertung für Kontrollen, die globale IAM-Ressourcen überprüfen. Da globale IAM-Ressourcen überall identisch sind, empfehlen wir AWS-Regionen, globale IAM-Ressourcen nur in der Heimatregion aufzuzeichnen (sofern die regionsübergreifende Aggregation in Ihrem Konto aktiviert ist). IAM-Ressourcen werden nur in der Region aufgezeichnet, in der die globale Ressourcenaufzeichnung aktiviert ist.  
Bei den global aufgezeichneten IAM-Ressourcentypen, die AWS Config unterstützt werden, handelt es sich um IAM-Benutzer, -Gruppen, -Rollen und vom Kunden verwaltete Richtlinien. Sie können erwägen, Security Hub CSPM-Steuerelemente, die diese Ressourcentypen überprüfen, in Regionen zu deaktivieren, in denen die globale Ressourcenaufzeichnung deaktiviert ist. Weitere Informationen finden Sie unter [Vorgeschlagene Steuerelemente zur Deaktivierung in Security Hub CSPM](controls-to-disable.md).

### Abhilfe
<a name="config-1-remediation"></a>

Erfassen Sie in der Heimatregion und in Regionen, die nicht Teil eines Aggregators sind, alle Ressourcen, die für Kontrollen erforderlich sind, die in der aktuellen Region aktiviert sind, einschließlich globaler IAM-Ressourcen, falls Sie Steuerungen aktiviert haben, die globale IAM-Ressourcen erfordern.

In verknüpften Regionen können Sie einen beliebigen AWS Config Aufnahmemodus verwenden, sofern Sie alle Ressourcen aufzeichnen, die den Steuerelementen entsprechen, die in der aktuellen Region aktiviert sind. Wenn Sie in verknüpften Regionen Steuerelemente aktiviert haben, die die Aufzeichnung globaler IAM-Ressourcen erfordern, erhalten Sie kein `FAILED` Ergebnis (Ihre Aufzeichnung anderer Ressourcen ist ausreichend).

Anhand des `StatusReasons` Felds im `Compliance` Objekt Ihrer Suche können Sie feststellen, warum Sie für dieses Steuerelement einen Fehler gefunden haben. Weitere Informationen finden Sie unter [Einzelheiten zur Einhaltung der Kontrollbestimmungen](controls-findings-create-update.md#control-findings-asff-compliance).

Eine Liste der Ressourcen, die für jedes Steuerelement aufgezeichnet werden müssen, finden Sie unter[Erforderliche AWS Config Ressourcen für Kontrollbefunde](controls-config-resources.md). Allgemeine Informationen zur Aktivierung AWS Config und Konfiguration der Ressourcenaufzeichnung finden Sie unter[Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md).

# Security Hub CSPM-Steuerungen für Amazon Connect
<a name="connect-controls"></a>

Diese Security Hub CSPM-Kontrollen bewerten den Service und die Ressourcen von Amazon Connect.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
<a name="connect-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::CustomerProfiles::ObjectType`

**AWS Config -Regel: ** `customerprofiles-object-type-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon Connect Connect-Objekttyp für Kundenprofile Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredKeyTags`. Die Steuerung schlägt fehl, wenn der Objekttyp keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Objekttyp mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="connect-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Objekttyp „Kundenprofile“ finden [Sie unter Hinzufügen von Tags zu Ressourcen in Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html) im *Amazon Connect Connect-Administratorhandbuch*.

## [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch
<a name="connect-2"></a>

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::Connect::Instance`

**AWS Config -Regel: ** [connect-instance-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/connect-instance-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob eine Amazon Connect Connect-Instance so konfiguriert ist, dass sie Flow-Protokolle in einer CloudWatch Amazon-Protokollgruppe generiert und speichert. Die Steuerung schlägt fehl, wenn die Amazon Connect Connect-Instance nicht für die Generierung und Speicherung von Flow-Protokollen in einer CloudWatch Protokollgruppe konfiguriert ist.

Amazon Connect Connect-Flow-Logs bieten Echtzeitdetails zu Ereignissen in Amazon Connect Connect-Flows. Ein *Flow* definiert das Kundenerlebnis mit einem Amazon Connect Connect-Kontaktzentrum von Anfang bis Ende. Wenn Sie eine neue Amazon Connect Connect-Instance erstellen, wird standardmäßig automatisch eine CloudWatch Amazon-Protokollgruppe erstellt, um Flow-Logs für die Instance zu speichern. Mithilfe von Flow-Protokollen können Sie Abläufe analysieren, Fehler finden und Betriebsmetriken überwachen. Sie können auch Benachrichtigungen für bestimmte Ereignisse einrichten, die in einem Flow auftreten können.

### Abhilfe
<a name="connect-2-remediation"></a>

Informationen zur Aktivierung von Flow-Logs für eine Amazon Connect Connect-Instance finden Sie unter [Amazon Connect Connect-Flow-Logs in einer CloudWatch Amazon-Protokollgruppe aktivieren](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs.html) im *Amazon Connect-Administratorhandbuch*.

# Security Hub CSPM-Steuerelemente für Amazon Data Firehose
<a name="datafirehose-controls"></a>

Diese Security Hub CSPM-Kontrollen bewerten den Service und die Ressourcen von Amazon Data Firehose.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden
<a name="datafirehose-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AU-3, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, 8 NIST.800-53.r5 SC-2

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::KinesisFirehose::DeliveryStream`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine 

Diese Kontrolle prüft, ob ein Amazon Data Firehose-Lieferstream im Ruhezustand mit serverseitiger Verschlüsselung verschlüsselt ist. Diese Steuerung schlägt fehl, wenn ein Firehose-Lieferstream im Ruhezustand nicht mit serverseitiger Verschlüsselung verschlüsselt ist.

Die serverseitige Verschlüsselung ist eine Funktion in Amazon Data Firehose-Lieferströmen, die Daten automatisch verschlüsselt, bevor sie gespeichert werden, indem ein in AWS Key Management Service () erstellter Schlüssel verwendet wird.AWS KMS Daten werden verschlüsselt, bevor sie in die Data Firehose-Stream-Speicherschicht geschrieben werden, und entschlüsselt, nachdem sie aus dem Speicher abgerufen werden. Auf diese Weise können Sie die gesetzlichen Anforderungen erfüllen und die Sicherheit Ihrer Daten verbessern.

### Abhilfe
<a name="datafirehose-1-remediation"></a>

Informationen zur Aktivierung der serverseitigen Verschlüsselung für Firehose-Lieferstreams finden Sie unter [Datenschutz in Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html) im *Amazon Data Firehose* Developer Guide.

# Security Hub CSPM-Steuerungen für AWS Database Migration Service
<a name="dms-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten die AWS Database Migration Service (AWS DMS) und AWS DMS Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein
<a name="dms-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::DMS::ReplicationInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob AWS DMS Replikationsinstanzen öffentlich sind. Zu diesem Zweck untersucht es den Wert des `PubliclyAccessible` Felds.

Eine private Replikationsinstanz hat eine private IP-Adresse, auf die Sie außerhalb des Replikationsnetzwerks nicht zugreifen können. Eine Replikationsinstanz sollte eine private IP-Adresse haben, wenn sich die Quell- und Zieldatenbank im selben Netzwerk befinden. Das Netzwerk muss auch über ein VPN oder VPC-Peering mit der VPC der Replikationsinstanz verbunden sein. Direct Connect*Weitere Informationen zu öffentlichen und privaten Replikationsinstanzen finden Sie im Benutzerhandbuch unter [Öffentliche und private Replikationsinstanzen](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate).AWS Database Migration Service *

Sie sollten außerdem sicherstellen, dass der Zugriff auf Ihre AWS DMS Instanzkonfiguration nur auf autorisierte Benutzer beschränkt ist. Beschränken Sie dazu die IAM-Berechtigungen der Benutzer, AWS DMS Einstellungen und Ressourcen zu ändern.

### Abhilfe
<a name="dms-1-remediation"></a>

Sie können die Einstellung für den öffentlichen Zugriff für eine DMS-Replikationsinstanz nicht ändern, nachdem Sie sie erstellt haben. Um die Einstellung für den öffentlichen Zugriff zu ändern, [löschen Sie Ihre aktuelle Instanz](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Deleting.html) und [erstellen Sie sie anschließend neu.](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Creating.html) Wählen Sie nicht die Option **Öffentlich zugänglich** aus.

## [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein
<a name="dms-2"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::DMS::Certificate`

**AWS Config Regel:** `tagged-dms-certificate` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein AWS DMS Zertifikat Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn das Zertifikat keine Tagschlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Zertifikat mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="dms-2-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einem DMS-Zertifikat finden Sie unter [Ressourcen kennzeichnen AWS Database Migration Service im Benutzerhandbuch](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html).AWS Database Migration Service *

## [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
<a name="dms-3"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::DMS::EventSubscription`

**AWS Config Regel:** `tagged-dms-eventsubscription` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein AWS DMS Ereignisabonnement Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn das Ereignisabonnement keine Tagschlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Ereignisabonnement mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="dms-3-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einem DMS-Veranstaltungsabonnement finden Sie [AWS Database Migration Service im Benutzerhandbuch unter Ressourcen taggen](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html).AWS Database Migration Service *

## [DMS.4] DMS-Replikationsinstanzen sollten markiert werden
<a name="dms-4"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::DMS::ReplicationInstance`

**AWS Config Regel:** `tagged-dms-replicationinstance` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine AWS DMS Replikationsinstanz über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn die Replikationsinstanz keine Tagschlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Replikationsinstanz mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="dms-4-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einer DMS-Replikationsinstanz finden Sie unter [Ressourcen taggen AWS Database Migration Service im Benutzerhandbuch](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html).AWS Database Migration Service *

## [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
<a name="dms-5"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::DMS::ReplicationSubnetGroup`

**AWS Config Regel:** `tagged-dms-replicationsubnetgroup` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine AWS DMS Replikationssubnetzgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind. `requiredTagKeys` Die Steuerung schlägt fehl, wenn die Replikationssubnetzgruppe keine Tagschlüssel hat oder wenn nicht alle im Parameter angegebenen Schlüssel vorhanden sind. `requiredTagKeys` Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Replikationssubnetzgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="dms-5-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einer DMS-Replikationssubnetzgruppe finden Sie unter [Ressourcen kennzeichnen im AWS Database Migration Service Benutzerhandbuch](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html).AWS Database Migration Service *

## [DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein
<a name="dms-6"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategorie**: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::DMS::ReplicationInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob das automatische Upgrade einer Nebenversion für eine AWS DMS Replikationsinstanz aktiviert ist. Die Steuerung schlägt fehl, wenn das automatische Upgrade der Nebenversion für eine DMS-Replikationsinstanz nicht aktiviert ist.

DMS bietet ein automatisches Upgrade der Nebenversionen für jede unterstützte Replikationsengine, sodass Sie Ihre Replikationsinstanz behalten können. up-to-date Nebenversionen können neue Softwarefunktionen, Bugfixes, Sicherheitspatches und Leistungsverbesserungen einführen. Durch die Aktivierung des automatischen Upgrades für kleinere Versionen auf DMS-Replikationsinstanzen werden kleinere Upgrades automatisch während des Wartungsfensters oder sofort angewendet, wenn die **Option Änderungen sofort anwenden ausgewählt ist**.

### Abhilfe
<a name="dms-6-remediation"></a>

Informationen zur Aktivierung des automatischen Upgrades für Nebenversionen auf DMS-Replikationsinstanzen finden Sie unter [Ändern einer Replikationsinstanz](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) im *AWS Database Migration Service Benutzerhandbuch*.

## [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
<a name="dms-7"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::DMS::ReplicationTask`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Protokollierung mit dem Mindestschweregrad `LOGGER_SEVERITY_DEFAULT` für DMS-Replikationsaufgaben `TARGET_APPLY` und `TARGET_LOAD` aktiviert ist. Die Steuerung schlägt fehl, wenn die Protokollierung für diese Aufgaben nicht aktiviert ist oder wenn der Mindestschweregrad unter `LOGGER_SEVERITY_DEFAULT` liegt.

DMS verwendet Amazon CloudWatch , um Informationen während des Migrationsprozesses zu protokollieren. Mithilfe der Einstellungen für die Protokollierungsaufgabe können Sie angeben, welche Komponentenaktivitäten protokolliert werden und wie viele Informationen protokolliert werden. Sie sollten die Protokollierung für die folgenden Aufgaben angeben:
+ `TARGET_APPLY` – Daten und Data Definition Language (DDL)-Anweisungen werden auf die Zieldatenbank angewendet.
+ `TARGET_LOAD` – Daten werden in die Zieldatenbank geladen.

Die Protokollierung spielt bei DMS-Replikationsaufgaben eine entscheidende Rolle, da sie Überwachung, Problembehandlung, Prüfung, Leistungsanalyse, Fehlererkennung und Wiederherstellung sowie historische Analysen und Berichte ermöglicht. Es trägt dazu bei, die erfolgreiche Replikation von Daten zwischen Datenbanken sicherzustellen und gleichzeitig die Datenintegrität und die Einhaltung gesetzlicher Anforderungen zu gewährleisten. Andere Protokollierungsstufen als `DEFAULT` werden für diese Komponenten bei der Problembehandlung selten benötigt. Wir empfehlen, die Protokollierungsebene `DEFAULT` für diese Komponenten beizubehalten, es sei denn, Sie werden ausdrücklich aufgefordert, sie zu ändern Support. Eine minimale Protokollierungsebene von `DEFAULT` stellt sicher, dass Informationsmeldungen, Warnungen und Fehlermeldungen in die Protokolle geschrieben werden. Dieses Steuerelement prüft, ob für die vorangegangenen Replikationsaufgaben mindestens eine der folgenden Protokollierungsstufen gilt: `LOGGER_SEVERITY_DEFAULT``LOGGER_SEVERITY_DEBUG`, oder`LOGGER_SEVERITY_DETAILED_DEBUG`.

### Abhilfe
<a name="dms-7-remediation"></a>

Informationen zum Aktivieren der Protokollierung für DMS-Replikationsaufgaben in der Zieldatenbank finden Sie unter [AWS DMS Task-Logs anzeigen und verwalten](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) im *AWS Database Migration Service Benutzerhandbuch*.

## [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein
<a name="dms-8"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::DMS::ReplicationTask`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Protokollierung mit dem Mindestschweregrad `LOGGER_SEVERITY_DEFAULT` für DMS-Replikationsaufgaben `SOURCE_CAPTURE` und `SOURCE_UNLOAD` aktiviert ist. Die Steuerung schlägt fehl, wenn die Protokollierung für diese Aufgaben nicht aktiviert ist oder wenn der Mindestschweregrad unter `LOGGER_SEVERITY_DEFAULT` liegt.

DMS verwendet Amazon CloudWatch , um Informationen während des Migrationsprozesses zu protokollieren. Mithilfe der Einstellungen für die Protokollierungsaufgabe können Sie angeben, welche Komponentenaktivitäten protokolliert werden und wie viele Informationen protokolliert werden. Sie sollten die Protokollierung für die folgenden Aufgaben angeben:
+ `SOURCE_CAPTURE`— Laufende Replikations- oder CDC-Daten (Change Data Capture) werden aus der Quelldatenbank oder dem Quelldienst erfasst und an die `SORTER` Servicekomponente weitergegeben.
+ `SOURCE_UNLOAD`— Daten werden bei Volllast aus der Quelldatenbank oder dem Quelldienst entladen.

Die Protokollierung spielt bei DMS-Replikationsaufgaben eine entscheidende Rolle, da sie Überwachung, Fehlerbehebung, Prüfung, Leistungsanalyse, Fehlererkennung und Wiederherstellung sowie historische Analysen und Berichte ermöglicht. Es trägt dazu bei, die erfolgreiche Replikation von Daten zwischen Datenbanken sicherzustellen und gleichzeitig die Datenintegrität und die Einhaltung gesetzlicher Anforderungen zu gewährleisten. Andere Protokollierungsstufen als `DEFAULT` werden für diese Komponenten bei der Problembehandlung selten benötigt. Wir empfehlen, die Protokollierungsebene `DEFAULT` für diese Komponenten beizubehalten, es sei denn, Sie werden ausdrücklich aufgefordert, sie zu ändern Support. Eine minimale Protokollierungsebene von `DEFAULT` stellt sicher, dass Informationsmeldungen, Warnungen und Fehlermeldungen in die Protokolle geschrieben werden. Dieses Steuerelement prüft, ob für die vorangegangenen Replikationsaufgaben mindestens eine der folgenden Protokollierungsstufen gilt: `LOGGER_SEVERITY_DEFAULT``LOGGER_SEVERITY_DEBUG`, oder`LOGGER_SEVERITY_DETAILED_DEBUG`.

### Abhilfe
<a name="dms-8-remediation"></a>

Informationen zum Aktivieren der Protokollierung für DMS-Replikationsaufgaben in der Quelldatenbank finden Sie unter [AWS DMS Task-Logs anzeigen und verwalten](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) im *AWS Database Migration Service Benutzerhandbuch*.

## [DMS.9] DMS-Endpunkte sollten SSL verwenden
<a name="dms-9"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1

**Kategorie: Schützen > Datenschutz >** Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::DMS::Endpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein AWS DMS Endpunkt eine SSL-Verbindung verwendet. Die Steuerung schlägt fehl, wenn der Endpunkt kein SSL verwendet.

SSL/TLS-Verbindungen bieten eine Sicherheitsebene, indem sie Verbindungen zwischen DMS-Replikationsinstanzen und Ihrer Datenbank verschlüsseln. Die Verwendung von Zertifikaten bietet eine zusätzliche Sicherheitsebene, indem überprüft wird, ob die Verbindung zur erwarteten Datenbank hergestellt wird. Dazu wird das Serverzertifikat überprüft, das automatisch auf allen von Ihnen bereitgestellten Datenbankinstanzen installiert wird. Durch die Aktivierung der SSL-Verbindung auf Ihren DMS-Endpunkten schützen Sie die Vertraulichkeit der Daten während der Migration.

### Abhilfe
<a name="dms-9-remediation"></a>

*Informationen zum Hinzufügen einer SSL-Verbindung zu einem neuen oder vorhandenen DMS-Endpunkt finden Sie unter [SSL verwenden mit AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.SSL.html#CHAP_Security.SSL.Procedure) im AWS Database Migration Service Benutzerhandbuch.*

## [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein
<a name="dms-10"></a>

**Verwandte Anforderungen: NIST.800-53.r5 AC-2,,, 7,, PCI** DSS NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 v4.0.1/7.3.1 NIST.800-53.r5 AC-1 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::DMS::Endpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein AWS DMS Endpunkt für eine Amazon Neptune Neptune-Datenbank mit IAM-Autorisierung konfiguriert ist. Die Kontrolle schlägt fehl, wenn für den DMS-Endpunkt keine IAM-Autorisierung aktiviert ist.

AWS Identity and Access Management (IAM) bietet eine differenzierte Zugriffskontrolle für alle Bereiche. AWS Mit IAM können Sie festlegen, wer unter welchen Bedingungen auf welche Dienste und Ressourcen zugreifen kann. Mit IAM-Richtlinien verwalten Sie die Berechtigungen für Ihre Mitarbeiter und Systeme, um sicherzustellen, dass die Berechtigungen mit den geringsten Rechten eingehalten werden. Indem Sie die IAM-Autorisierung auf AWS DMS Endpunkten für Neptune-Datenbanken aktivieren, können Sie IAM-Benutzern Autorisierungsprivilegien gewähren, indem Sie eine durch den Parameter angegebene Servicerolle verwenden. `ServiceAccessRoleARN`

### Abhilfe
<a name="dms-10-remediation"></a>

*Informationen zur Aktivierung der IAM-Autorisierung auf DMS-Endpunkten für Neptune-Datenbanken finden Sie unter [Verwenden von Amazon Neptune als](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Neptune.html) Ziel für im Benutzerhandbuch. AWS Database Migration ServiceAWS Database Migration Service *

## [DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein
<a name="dms-11"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-3,,, PCI DSS NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 v4.0.1/7.3.1 NIST.800-53.r5 IA-5

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::DMS::Endpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein AWS DMS Endpunkt für MongoDB mit einem Authentifizierungsmechanismus konfiguriert ist. Die Steuerung schlägt fehl, wenn kein Authentifizierungstyp für den Endpunkt festgelegt ist.

AWS Database Migration Service unterstützt zwei Authentifizierungsmethoden für MongoDB — **MONGODB-CR für MongoDB** Version 2.x und **SCRAM-SHA-1** für MongoDB Version 3.x oder höher. Diese Authentifizierungsmethoden werden verwendet, um MongoDB-Passwörter zu authentifizieren und zu verschlüsseln, wenn Benutzer die Passwörter für den Zugriff auf die Datenbanken verwenden möchten. Durch die Authentifizierung auf AWS DMS Endpunkten wird sichergestellt, dass nur autorisierte Benutzer auf die Daten zugreifen und diese ändern können, die zwischen Datenbanken migriert werden. Ohne ordnungsgemäße Authentifizierung können unbefugte Benutzer während des Migrationsprozesses möglicherweise auf sensible Daten zugreifen. Dies kann zu Datenschutzverletzungen, Datenverlust oder anderen Sicherheitsvorfällen führen.

### Abhilfe
<a name="dms-11-remediation"></a>

*Informationen zur Aktivierung eines Authentifizierungsmechanismus auf DMS-Endpunkten für MongoDB finden Sie unter [Verwenden von MongoDB als Quelle für AWS DMS im Benutzerhandbuch](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.MongoDB.html).AWS Database Migration Service *

## [DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
<a name="dms-12"></a>

**Verwandte Anforderungen:**, 3, PCI DSS NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-1 v4.0.1/4.2.1

**Kategorie: Schützen > Datenschutz >** Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::DMS::Endpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein AWS DMS Endpunkt für Redis OSS mit einer TLS-Verbindung konfiguriert ist. Die Steuerung schlägt fehl, wenn auf dem Endpunkt TLS nicht aktiviert ist.

TLS bietet end-to-end Sicherheit, wenn Daten zwischen Anwendungen oder Datenbanken über das Internet gesendet werden. Wenn Sie die SSL-Verschlüsselung für Ihren DMS-Endpunkt konfigurieren, ermöglicht sie die verschlüsselte Kommunikation zwischen der Quell- und der Zieldatenbank während des Migrationsprozesses. Dies trägt dazu bei, das Abhören und Abfangen sensibler Daten durch böswillige Akteure zu verhindern. Ohne SSL-Verschlüsselung kann auf sensible Daten zugegriffen werden, was zu Datenschutzverletzungen, Datenverlust oder anderen Sicherheitsvorfällen führen kann.

### Abhilfe
<a name="dms-12-remediation"></a>

*Informationen zum Aktivieren einer TLS-Verbindung auf DMS-Endpunkten für Redis finden Sie unter [Verwenden von Redis als Ziel für AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Redis.html) im Benutzerhandbuch.AWS Database Migration Service *

## [DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden
<a name="dms-13"></a>

**Kategorie:** Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::DMS::ReplicationInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine AWS Database Migration Service (AWS DMS) Replikationsinstanz für die Verwendung mehrerer Availability Zones konfiguriert ist (Multi-AZ-Bereitstellung). Die Steuerung schlägt fehl, wenn die AWS DMS Replikationsinstanz nicht für die Verwendung einer Multi-AZ-Bereitstellung konfiguriert ist.

In einer Multi-AZ-Bereitstellung AWS DMS wird automatisch ein Standby-Replikat einer Replikationsinstanz in einer anderen Availability Zone (AZ) bereitgestellt und verwaltet. Die primäre Replikationsinstanz wird dann synchron auf das Standby-Replikat repliziert. Wenn die primäre Replikations-Instance ausfällt oder nicht mehr reagiert, nimmt der Standby-Modus alle laufenden Tasks mit minimaler Unterbrechung wieder auf. *Weitere Informationen finden Sie unter [Arbeiten mit einer Replikationsinstanz](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html) im AWS Database Migration Service Benutzerhandbuch.*

### Abhilfe
<a name="dms-13-remediation"></a>

Nachdem Sie eine AWS DMS Replikationsinstanz erstellt haben, können Sie die Multi-AZ-Bereitstellungseinstellung für sie ändern. Informationen zum Ändern dieser und anderer Einstellungen für eine bestehende Replikationsinstanz finden Sie unter [Ändern einer Replikationsinstanz](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) im *AWS Database Migration Service Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für AWS DataSync
<a name="datasync-controls"></a>

Diese Security Hub CSPM-Steuerungen bewerten den AWS DataSync Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [DataSync.1] Für DataSync Aufgaben sollte die Protokollierung aktiviert sein
<a name="datasync-1"></a>

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::DataSync::Task`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für eine AWS DataSync Aufgabe die Protokollierung aktiviert ist. Das Steuerelement schlägt fehl, wenn für die Aufgabe die Protokollierung nicht aktiviert ist.

In Auditprotokollen werden Systemaktivitäten verfolgt und überwacht. Sie bieten eine Aufzeichnung von Ereignissen, anhand derer Sie Sicherheitsverletzungen erkennen, Vorfälle untersuchen und Vorschriften einhalten können. Auditprotokolle verbessern auch die allgemeine Rechenschaftspflicht und Transparenz Ihres Unternehmens.

### Abhilfe
<a name="datasync-1-remediation"></a>

Informationen zur Konfiguration der Protokollierung für AWS DataSync Aufgaben finden Sie unter [Überwachen von Datenübertragungen mit Amazon CloudWatch Logs](https://docs.aws.amazon.com/datasync/latest/userguide/configure-logging.html) im *AWS DataSync Benutzerhandbuch*.

## [DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden
<a name="datasync-2"></a>

**Kategorie:** Identifizieren > Inventar > Taggen

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::DataSync::Task`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob eine AWS DataSync Aufgabe über die im `requiredKeyTags` Parameter angegebenen Tag-Schlüssel verfügt. Das Steuerelement schlägt fehl, wenn die Aufgabe über keine Tagschlüssel oder nicht über alle im `requiredKeyTags` Parameter angegebenen Schlüssel verfügt. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Aufgabe keine Tagschlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="datasync-2-remediation"></a>

Informationen zum Hinzufügen von Stichwörtern zu einer AWS DataSync Aufgabe finden Sie unter [Taggen Ihrer AWS DataSync Aufgaben](https://docs.aws.amazon.com/datasync/latest/userguide/tagging-tasks.html) im *AWS DataSync Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für Amazon Detective
<a name="detective-controls"></a>

Diese AWS Security Hub CSPM Kontrolle bewertet den Service und die Ressourcen von Amazon Detective. Das Steuerelement ist möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden
<a name="detective-1"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Detective::Graph`

**AWS Config Regel:** `tagged-detective-graph` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein Amazon Detective-Verhaltensdiagramm Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredTagKeys`. Das Steuerelement schlägt fehl, wenn das Verhaltensdiagramm keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Verhaltensdiagramm mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="detective-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Verhaltensdiagramm von Detective finden Sie unter [Hinzufügen von Tags zu einem Verhaltensdiagramm](https://docs.aws.amazon.com/detective/latest/adminguide/graph-tags.html#graph-tags-add-console) im *Amazon Detective Administration Guide*.

# Security Hub CSPM-Steuerelemente für Amazon DocumentDB
<a name="documentdb-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon DocumentDB (mit MongoDB-Kompatibilität). Die Steuerelemente sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
<a name="documentdb-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6)

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon DocumentDB-Cluster im Ruhezustand verschlüsselt ist. Die Kontrolle schlägt fehl, wenn ein Amazon DocumentDB-Cluster im Ruhezustand nicht verschlüsselt ist.

Daten im Ruhezustand beziehen sich auf alle Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch Verschlüsselung können Sie die Vertraulichkeit solcher Daten schützen und so das Risiko verringern, dass ein nicht autorisierter Benutzer darauf zugreifen kann. Daten in Amazon DocumentDB-Clustern sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten. Amazon DocumentDB verwendet den 256-Bit-Advanced Encryption Standard (AES-256), um Ihre Daten mit den in () gespeicherten Verschlüsselungsschlüsseln zu verschlüsseln. AWS Key Management Service AWS KMS

### Abhilfe
<a name="documentdb-1-remediation"></a>

Sie können die Verschlüsselung im Ruhezustand aktivieren, wenn Sie einen Amazon DocumentDB-Cluster erstellen. Sie können die Verschlüsselungseinstellungen nach dem Erstellen eines Clusters nicht ändern. Weitere Informationen finden Sie unter [Enabling at rest encryption for a Amazon DocumentDB-Cluster](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling) im *Amazon DocumentDB Developer Guide*.

## [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen
<a name="documentdb-2"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 SI-12, PCI DSS v4.0.1/3.2.1

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Backups aktiviert

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  Minimale Aufbewahrungsdauer für Backups in Tagen  |  Ganzzahl  |  `7` auf `35`  |  `7`  | 

Diese Kontrolle prüft, ob ein Amazon DocumentDB-Cluster eine Aufbewahrungsdauer für Backups hat, die größer oder gleich dem angegebenen Zeitraum ist. Die Kontrolle schlägt fehl, wenn die Aufbewahrungsfrist für Backups den angegebenen Zeitraum unterschreitet. Sofern Sie keinen benutzerdefinierten Parameterwert für die Aufbewahrungsdauer von Backups angeben, verwendet Security Hub CSPM einen Standardwert von 7 Tagen.

Backups helfen Ihnen, sich nach einem Sicherheitsvorfall schneller zu erholen und die Widerstandsfähigkeit Ihrer Systeme zu stärken. Durch die Automatisierung von Backups für Ihre Amazon DocumentDB-Cluster können Sie Ihre Systeme bis zu einem bestimmten Zeitpunkt wiederherstellen und Ausfallzeiten und Datenverluste minimieren. In Amazon DocumentDB haben Cluster eine standardmäßige Aufbewahrungsfrist für Backups von einem Tag. Dieser Wert muss auf einen Wert zwischen 7 und 35 Tagen erhöht werden, um diese Kontrolle zu bestehen.

### Abhilfe
<a name="documentdb-2-remediation"></a>

Informationen zum Ändern der Aufbewahrungsdauer von Backups für Ihre Amazon DocumentDB-Cluster finden Sie unter [Ändern eines Amazon DocumentDB-Clusters im Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) *DocumentDB-Entwicklerhandbuch*. Wählen Sie für **Backup** den Aufbewahrungszeitraum für Backups aus.

## [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
<a name="documentdb-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI NIST.800-53.r5 SC-7 DSS v4.0.1/1.4.4

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::RDS::DBClusterSnapshot`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein manueller Amazon DocumentDB-Cluster-Snapshot öffentlich ist. Die Kontrolle schlägt fehl, wenn der manuelle Cluster-Snapshot öffentlich ist.

Ein manueller Amazon DocumentDB-Cluster-Snapshot sollte nicht öffentlich sein, es sei denn, dies ist beabsichtigt. Wenn Sie einen unverschlüsselten manuellen Snapshot als öffentlich freigeben, ist der Snapshot für alle verfügbar. AWS-KontenÖffentliche Schnappschüsse können zu einer unbeabsichtigten Offenlegung von Daten führen.

**Anmerkung**  
Dieses Steuerelement wertet manuelle Cluster-Snapshots aus. Sie können keinen automatisierten Amazon DocumentDB-Cluster-Snapshot teilen. Sie können jedoch einen manuellen Snapshot erstellen, indem Sie den automatisierten Snapshot kopieren und die Kopie dann teilen.

### Abhilfe
<a name="documentdb-3-remediation"></a>

Informationen zum Entfernen des öffentlichen Zugriffs für manuelle Cluster-Snapshots von Amazon DocumentDB finden Sie unter Einen [Snapshot teilen](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots) im *Amazon DocumentDB DocumentDB-Entwicklerhandbuch*. Programmgesteuert können Sie den Amazon DocumentDB DocumentDB-Vorgang verwenden. `modify-db-snapshot-attribute` Stellen Sie `attribute-name` als und als ein. `restore` `values-to-remove` `all`

## [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
<a name="documentdb-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob ein Amazon DocumentDB-Cluster Audit-Logs in Amazon CloudWatch Logs veröffentlicht. Die Kontrolle schlägt fehl, wenn der Cluster keine Audit-Logs in Logs veröffentlicht. CloudWatch 

Amazon DocumentDB (mit MongoDB-Kompatibilität) ermöglicht es Ihnen, Ereignisse zu überprüfen, die in Ihrem Cluster durchgeführt wurden. Beispiele für protokollierte Ereignisse sind erfolgreiche und fehlgeschlagene Authentifizierungsversuche, Drop-Ereignisse für Sammlungen in einer Datenbank oder das Erstellen eines Index. Standardmäßig ist die Prüfung in Amazon DocumentDB deaktiviert und erfordert, dass Sie Maßnahmen ergreifen, um sie zu aktivieren.

### Abhilfe
<a name="documentdb-4-remediation"></a>

Informationen zum Veröffentlichen von Amazon DocumentDB-Prüfprotokollen in CloudWatch Logs finden Sie unter [Enabling Auditing](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing) im *Amazon DocumentDB Developer Guide*.

## [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
<a name="documentdb-5"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Kategorie:** Schützen > Datenschutz > Schutz vor Datenlöschung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob in einem Amazon DocumentDB-Cluster der Löschschutz aktiviert ist. Die Kontrolle schlägt fehl, wenn für den Cluster kein Löschschutz aktiviert ist.

Die Aktivierung des Cluster-Löschschutzes bietet einen zusätzlichen Schutz vor versehentlichem Löschen von Datenbanken oder vor dem Löschen durch einen nicht autorisierten Benutzer. Ein Amazon DocumentDB-Cluster kann nicht gelöscht werden, solange der Löschschutz aktiviert ist. Sie müssen zuerst den Löschschutz deaktivieren, bevor eine Löschanfrage erfolgreich sein kann. Der Löschschutz ist standardmäßig aktiviert, wenn Sie einen Cluster in der Amazon DocumentDB DocumentDB-Konsole erstellen.

### Abhilfe
<a name="documentdb-5-remediation"></a>

Informationen zum Aktivieren des Löschschutzes für einen vorhandenen Amazon DocumentDB-Cluster finden Sie unter [Ändern eines Amazon DocumentDB-Clusters im Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) *DocumentDB-Entwicklerhandbuch*. **Wählen **Sie im Abschnitt „Cluster modifizieren**“ die Option „Für den **Löschschutz aktivieren**“.**

## [DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
<a name="documentdb-6"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)

**Art des Zeitplans:** Periodisch

**Parameter`excludeTlsParameters`:**`disabled`, `enabled` (nicht anpassbar)

Diese Steuerung prüft, ob ein Amazon DocumentDB-Cluster TLS für Verbindungen zum Cluster benötigt. Die Steuerung schlägt fehl, wenn die dem Cluster zugeordnete Cluster-Parametergruppe nicht synchronisiert ist oder der TLS-Cluster-Parameter auf `disabled` oder `enabled` gesetzt ist.

Sie können TLS verwenden, um die Verbindung zwischen einer Anwendung und einem Amazon DocumentDB-Cluster zu verschlüsseln. Die Verwendung von TLS kann dazu beitragen, Daten davor zu schützen, dass sie abgefangen werden, während die Daten zwischen einer Anwendung und einem Amazon DocumentDB-Cluster übertragen werden. Die Verschlüsselung während der Übertragung für einen Amazon DocumentDB-Cluster wird mithilfe des TLS-Parameters in der Cluster-Parametergruppe verwaltet, die dem Cluster zugeordnet ist. Wenn die Verschlüsselung während der Übertragung aktiviert ist, sind sichere Verbindungen mit TLS erforderlich, um eine Verbindung mit dem Cluster herzustellen. Wir empfehlen die Verwendung der folgenden TLS-Parameter: `tls1.2+``tls1.3+`, und`fips-140-3`.

### Abhilfe
<a name="documentdb-6-remediation"></a>

Informationen zum Ändern der TLS-Einstellungen für einen Amazon DocumentDB-Cluster finden Sie unter [Verschlüsseln von Daten bei der Übertragung im](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html) *Amazon DocumentDB* Developer Guide.

# Security Hub CSPM-Steuerelemente für DynamoDB
<a name="dynamodb-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon DynamoDB. Die Steuerelemente sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren
<a name="dynamodb-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::DynamoDB::Table`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Gültige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `minProvisionedReadCapacity`  |  Mindestanzahl bereitgestellter Lesekapazitätseinheiten für DynamoDB Auto Scaling  |  Ganzzahl  |  `1` auf `40000`  |  Kein Standardwert  | 
|  `targetReadUtilization`  |  Zielauslastung in Prozent für die Lesekapazität  |  Ganzzahl  |  `20` auf `90`  |  Kein Standardwert  | 
|  `minProvisionedWriteCapacity`  |  Mindestanzahl bereitgestellter Schreibkapazitätseinheiten für DynamoDB Auto Scaling  |  Ganzzahl  |  `1` auf `40000`  |  Kein Standardwert  | 
|  `targetWriteUtilization`  |  Zielauslastung in Prozent für die Schreibkapazität  |  Ganzzahl  |  `20` auf `90`  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon DynamoDB-Tabelle ihre Lese- und Schreibkapazität nach Bedarf skalieren kann. Die Steuerung schlägt fehl, wenn die Tabelle nicht den On-Demand-Kapazitätsmodus oder den Bereitstellungsmodus mit konfigurierter Autoskalierung verwendet. Standardmäßig erfordert dieses Steuerelement nur, dass einer dieser Modi konfiguriert ist, unabhängig von bestimmten Lese- oder Schreibkapazitätsstufen. Optional können Sie benutzerdefinierte Parameterwerte angeben, um bestimmte Lese- und Schreibkapazitäten oder eine bestimmte Zielauslastung zu erfordern.

Durch die bedarfsgerechte Skalierung der Kapazität werden Drosselungen von Ausnahmen vermieden, wodurch die Verfügbarkeit Ihrer Anwendungen aufrechterhalten wird. DynamoDB-Tabellen, die den On-Demand-Kapazitätsmodus verwenden, sind nur durch die standardmäßigen Tabellenkontingente für den DynamoDB-Durchsatz begrenzt. Um diese Kontingente zu erhöhen, können Sie ein Supportticket bei einreichen. Support DynamoDB-Tabellen, die den Bereitstellungsmodus mit Auto Scaling verwenden, passen die bereitgestellte Durchsatzkapazität dynamisch an Verkehrsmuster an. *Weitere Informationen zur DynamoDB-Anforderungsdrosselung finden Sie unter Request [Throttling and Burst Capacity](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling) im Amazon DynamoDB Developer Guide.*

### Abhilfe
<a name="dynamodb-1-remediation"></a>

Informationen zur Aktivierung der automatischen DynamoDB-Skalierung für bestehende Tabellen im Kapazitätsmodus finden Sie unter [Aktivieren der auto Skalierung von DynamoDB für bestehende Tabellen](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable) im *Amazon* DynamoDB DynamoDB-Entwicklerhandbuch.

## [DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time
<a name="dynamodb-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Backups aktiviert

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::DynamoDB::Table`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob point-in-time Recovery (PITR) für eine Amazon DynamoDB-Tabelle aktiviert ist.

Mithilfe von Backups können Sie sich nach einem Sicherheitsvorfall schneller erholen. Sie stärken auch die Widerstandsfähigkeit Ihrer Systeme. Die point-in-time DynamoDB-Wiederherstellung automatisiert Backups für DynamoDB-Tabellen. Es reduziert die Zeit für die Wiederherstellung nach versehentlichen Lösch- oder Schreibvorgängen. DynamoDB-Tabellen, für die PITR aktiviert ist, können zu einem beliebigen Zeitpunkt der letzten 35 Tage wiederhergestellt werden.

### Abhilfe
<a name="dynamodb-2-remediation"></a>

Informationen zum Wiederherstellen einer DynamoDB-Tabelle auf einen bestimmten Zeitpunkt finden Sie unter [Wiederherstellen einer DynamoDB-Tabelle auf einen bestimmten Zeitpunkt im *Amazon* DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html) DynamoDB-Entwicklerhandbuch.

## [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
<a name="dynamodb-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6)

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::DAX::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon DynamoDB Accelerator (DAX) -Cluster im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn der DAX-Cluster im Ruhezustand nicht verschlüsselt ist.

Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass auf Daten, die auf der Festplatte gespeichert sind, von einem Benutzer zugegriffen wird, für den keine Authentifizierung angemeldet ist. AWS Durch die Verschlüsselung werden weitere Zugriffskontrollen hinzugefügt, um den Zugriff nicht autorisierter Benutzer auf die Daten zu beschränken. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können.

### Abhilfe
<a name="dynamodb-3-remediation"></a>

Sie können die Verschlüsselung im Ruhezustand nicht aktivieren oder deaktivieren, nachdem ein Cluster erstellt wurde. Sie müssen den Cluster neu erstellen, um die Verschlüsselung im Ruhezustand zu aktivieren. Ausführliche Anweisungen zum Erstellen eines DAX-Clusters mit aktivierter Verschlüsselung im Ruhezustand finden Sie unter [Enabling at rest using the AWS-Managementkonsole](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console) im *Amazon DynamoDB Developer Guide*.

## [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
<a name="dynamodb-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Backups aktiviert

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::DynamoDB::Table`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html)**``

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  Das Steuerelement ermittelt, `PASSED` ob der Parameter auf gesetzt ist `true` und die Ressource AWS Backup Vault Lock verwendet.  |  Boolesch  |  `true` oder `false`  |  Kein Standardwert  | 

Dieses Steuerelement bewertet, ob eine Amazon DynamoDB-Tabelle im `ACTIVE` Status durch einen Backup-Plan abgedeckt ist. Die Steuerung schlägt fehl, wenn die DynamoDB-Tabelle nicht durch einen Backup-Plan abgedeckt ist. Wenn Sie den `backupVaultLockCheck` Parameter auf gleich setzen`true`, wird die Steuerung nur erfolgreich ausgeführt, wenn die DynamoDB-Tabelle in einem AWS Backup gesperrten Tresor gesichert ist.

AWS Backup ist ein vollständig verwalteter Backup-Service, der Ihnen hilft, die Sicherung von Daten auf allen Ebenen zu zentralisieren und zu automatisieren. AWS-Services Mit AWS Backup können Sie Backup-Pläne erstellen, die Ihre Backup-Anforderungen definieren, z. B. wie oft Ihre Daten gesichert werden sollen und wie lange diese Backups aufbewahrt werden sollen. Wenn Sie DynamoDB-Tabellen in Ihre Backup-Pläne aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschung schützen.

### Abhilfe
<a name="dynamodb-4-remediation"></a>

*Informationen zum Hinzufügen einer DynamoDB-Tabelle zu einem AWS Backup Backup-Plan finden Sie unter [Zuweisen von Ressourcen zu einem Backup-Plan im AWS Backup Entwicklerhandbuch](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html).*

## [DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden
<a name="dynamodb-5"></a>

**Kategorie: Identifizieren > Inventar > Tagging**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::DynamoDB::Table`

**AWS Config Regel:** `tagged-dynamodb-table` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine Amazon DynamoDB-Tabelle Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind. `requiredTagKeys` Das Steuerelement schlägt fehl, wenn die Tabelle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält. `requiredTagKeys` Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Tabelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="dynamodb-5-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einer DynamoDB-Tabelle finden Sie unter [Tagging resources in DynamoDB im Amazon DynamoDB Developer](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Tagging.Operations.html) Guide.*

## [DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein
<a name="dynamodb-6"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Kategorie:** Schützen > Datenschutz > Schutz vor Datenlöschung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::DynamoDB::Table`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html)**``

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für eine Amazon DynamoDB-Tabelle der Löschschutz aktiviert ist. Das Steuerelement schlägt fehl, wenn für eine DynamoDB-Tabelle kein Löschschutz aktiviert ist.

Mit der Eigenschaft Löschschutz können Sie eine DynamoDB-Tabelle vor versehentlichem Löschen schützen. Durch die Aktivierung dieser Eigenschaft für Tabellen wird sichergestellt, dass Tabellen nicht versehentlich während der regulären Tabellenverwaltung durch Ihre Administratoren gelöscht werden. Dies trägt dazu bei, Störungen Ihres normalen Geschäftsbetriebs zu vermeiden.

### Abhilfe
<a name="dynamodb-6-remediation"></a>

Informationen zum Aktivieren des Löschschutzes für eine DynamoDB-Tabelle finden Sie unter [Verwenden des Löschschutzes](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) im *Amazon DynamoDB DynamoDB-Entwicklerhandbuch*.

## [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
<a name="dynamodb-7"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7, 3, NIST.800-53.r5 SC-1 3 NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-2

**Kategorie: Schützen > Datenschutz >** Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::DAX::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon DynamoDB Accelerator (DAX) -Cluster während der Übertragung verschlüsselt ist, wobei der Endpunktverschlüsselungstyp auf TLS festgelegt ist. Die Steuerung schlägt fehl, wenn der DAX-Cluster bei der Übertragung nicht verschlüsselt wird.

HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer person-in-the-middle oder ähnliche Angriffe verwenden, um den Netzwerkverkehr zu belauschen oder zu manipulieren. Sie sollten nur verschlüsselte Verbindungen über TLS für den Zugriff auf DAX-Cluster zulassen. Die Verschlüsselung von Daten während der Übertragung kann jedoch die Leistung beeinträchtigen. Sie sollten Ihre Anwendung mit aktivierter Verschlüsselung testen, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen.

### Abhilfe
<a name="dynamodb-7-remediation"></a>

Sie können die TLS-Verschlüsselungseinstellung nicht ändern, nachdem Sie einen DAX-Cluster erstellt haben. Um einen vorhandenen DAX-Cluster zu verschlüsseln, erstellen Sie einen neuen Cluster mit aktivierter Verschlüsselung bei der Übertragung, verlagern Sie den Datenverkehr Ihrer Anwendung darauf und löschen Sie dann den alten Cluster. Weitere Informationen finden Sie unter [Verwenden des Löschschutzes](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) im *Entwicklerhandbuch zu Amazon DynamoDB*.

# Security Hub CSPM-Steuerelemente für Amazon EC2
<a name="ec2-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Elastic Compute Cloud (Amazon EC2). Die Kontrollen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein
<a name="ec2-1"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Kritisch 

**Ressourcentyp:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob Amazon Elastic Block Store-Snapshots nicht öffentlich sind. Die Kontrolle schlägt fehl, wenn Amazon EBS-Snapshots von jedermann wiederhergestellt werden können.

EBS-Snapshots werden verwendet, um die Daten auf Ihren EBS-Volumes zu einem bestimmten Zeitpunkt auf Amazon S3 zu sichern. Sie können die Snapshots verwenden, um frühere Status von EBS-Volumes wiederherzustellen. Es ist selten akzeptabel, einen Snapshot mit der Öffentlichkeit zu teilen. Typischerweise wurde die Entscheidung, eine Momentaufnahme öffentlich zu teilen, irrtümlich oder ohne vollständiges Verständnis der Auswirkungen getroffen. Diese Überprüfung trägt dazu bei, dass alle diese Freigaben vollständig geplant und beabsichtigt waren.

### Abhilfe
<a name="ec2-1-remediation"></a>

Informationen dazu, wie Sie einen öffentlichen EBS-Snapshot privat machen können, finden [Sie unter Einen Snapshot teilen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) im *Amazon EC2 EC2-Benutzerhandbuch*. **Wählen Sie für **Aktionen, Berechtigungen ändern die** Option Privat aus.**

## [EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen
<a name="ec2-2"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/5.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS AWS Foundations Benchmark v1.2.0/4.3, CIS AWS Foundations Benchmark v1.4.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.4, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Hoch 

**Ressourcentyp:** `AWS::EC2::SecurityGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Standardsicherheitsgruppe einer VPC eingehenden oder ausgehenden Datenverkehr zulässt. Die Steuerung schlägt fehl, wenn die Sicherheitsgruppe eingehenden oder ausgehenden Datenverkehr zulässt.

Die Regeln für die [Standardsicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html) erlauben den gesamten ausgehenden und eingehenden Datenverkehr von Netzwerkschnittstellen (und den zugehörigen Instances), die derselben Sicherheitsgruppe zugewiesen sind. Wir empfehlen, die Standardsicherheitsgruppe nicht zu verwenden. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, sollten Sie die Standardeinstellung für Sicherheitsgruppenregeln ändern, um eingehenden und ausgehenden Datenverkehr einzuschränken. Dies verhindert unbeabsichtigten Datenverkehr, wenn die Standardsicherheitsgruppe versehentlich für Ressourcen wie EC2-Instances konfiguriert ist.

### Abhilfe
<a name="ec2-2-remediation"></a>

Um dieses Problem zu beheben, erstellen Sie zunächst neue Sicherheitsgruppen mit den geringsten Rechten. Anweisungen finden Sie unter [Erstellen einer Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups) im *Amazon VPC-Benutzerhandbuch*. Weisen Sie dann die neuen Sicherheitsgruppen Ihren EC2-Instances zu. Anweisungen finden Sie unter [Ändern der Sicherheitsgruppe einer Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group) im *Amazon EC2 EC2-Benutzerhandbuch*.

Nachdem Sie Ihren Ressourcen die neuen Sicherheitsgruppen zugewiesen haben, entfernen Sie alle Regeln für eingehenden und ausgehenden Datenverkehr aus den Standardsicherheitsgruppen. Anweisungen finden [Sie unter Sicherheitsgruppenregeln konfigurieren](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) im *Amazon VPC-Benutzerhandbuch*.

## [EC2.3] Angehängte Amazon EBS-Volumes sollten im Ruhezustand verschlüsselt werden
<a name="ec2-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6)

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::Volume`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die EBS-Volumes, die sich im angefügten Zustand befinden, verschlüsselt sind. Um diese Prüfung zu bestehen, müssen EBS-Volumes in Betrieb und verschlüsselt sein. Wenn das EBS-Volume nicht angefügt ist, unterliegt es nicht dieser Prüfung.

Um eine zusätzliche Sicherheitsebene Ihrer sensiblen Daten in EBS-Volumes zu gewährleisten, sollten Sie die EBS-Verschlüsselung im Ruhezustand aktivieren. Die Amazon EBS-Verschlüsselung bietet eine einfache Verschlüsselungslösung für Ihre EBS-Ressourcen, ohne dass Sie eine eigene Infrastruktur für die Schlüsselverwaltung erstellen, verwalten und sichern müssen. Bei der Erstellung verschlüsselter Volumes und Snapshots werden KMS-Schlüssel verwendet.

Weitere Informationen zur Amazon EBS-Verschlüsselung finden Sie unter [Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

### Abhilfe
<a name="ec2-3-remediation"></a>

Es gibt keine direkte Möglichkeit, ein vorhandenes unverschlüsseltes Volume oder einen Snapshot zu verschlüsseln. Sie können ein neues Volume oder einen neuen Snapshot nur beim Erstellen verschlüsseln.

Wenn Sie die Verschlüsselung standardmäßig aktiviert haben, verschlüsselt Amazon EBS das resultierende neue Volume oder den Snapshot mit Ihrem Standardschlüssel für die Amazon EBS-Verschlüsselung. Auch wenn Sie die standardmäßige Verschlüsselung nicht aktiviert haben, können Sie die Verschlüsselung beim Erstellen eines einzelnen Volumes oder Snapshots aktivieren. In beiden Fällen können Sie den Standardschlüssel für die Amazon EBS-Verschlüsselung überschreiben und einen symmetrischen, vom Kunden verwalteten Schlüssel wählen.

Weitere Informationen finden Sie unter [Erstellen eines Amazon EBS-Volumes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) und [Kopieren eines Amazon EBS-Snapshots](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
<a name="ec2-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

**Kategorie:** Identifizieren > Bestand

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::Instance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `AllowedDays`  |  Anzahl der Tage, an denen sich die EC2-Instance im gestoppten Zustand befinden darf, bevor ein fehlgeschlagenes Ergebnis generiert wird.  |  Ganzzahl  |  `1` auf `365`  |  `30`  | 

Diese Kontrolle prüft, ob eine Amazon EC2 EC2-Instance länger als die zulässige Anzahl von Tagen angehalten wurde. Die Kontrolle schlägt fehl, wenn eine EC2-Instance länger als die maximal zulässige Zeitspanne angehalten wird. Sofern Sie keinen benutzerdefinierten Parameterwert für den maximal zulässigen Zeitraum angeben, verwendet Security Hub CSPM einen Standardwert von 30 Tagen.

Wenn eine EC2-Instance über einen längeren Zeitraum nicht ausgeführt wurde, stellt dies ein Sicherheitsrisiko dar, da die Instance nicht aktiv gewartet (analysiert, gepatcht, aktualisiert) wird. Wenn sie später gestartet wird, kann der Mangel an ordnungsgemäßer Wartung zu unerwarteten Problemen in Ihrer AWS Umgebung führen. Um eine EC2-Instance über einen längeren Zeitraum sicher inaktiv zu halten, starten Sie sie regelmäßig zu Wartungszwecken und beenden Sie sie dann nach der Wartung. Idealerweise sollte dies ein automatisierter Prozess sein.

### Abhilfe
<a name="ec2-4-remediation"></a>

Informationen zum Beenden einer inaktiven EC2-Instance finden Sie unter [Terminate an Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs
<a name="ec2-6"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/3.7, CIS Foundations Benchmark v1.2.0/2.9, CIS AWS Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, NIST.800-53.r5 AC-4 (26),, NIST.800-53.R5 SI-7 (8), NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.3.1 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-171.r2 3.13.1, PCI DSS v3.2.1 1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6 AWS 

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::VPC`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**
+ `trafficType`: `REJECT` (nicht anpassbar)

Dieses Steuerelement prüft, ob Amazon VPC Flow Logs gefunden und aktiviert wurden. VPCs Der Datenverkehrstyp ist auf `Reject` eingestellt. Die Steuerung schlägt fehl, wenn VPC Flow Logs VPCs in Ihrem Konto nicht aktiviert sind.

**Anmerkung**  
Dieses Steuerelement überprüft nicht, ob Amazon VPC Flow Logs über Amazon Security Lake für aktiviert sind. AWS-Konto

Mit der Funktion VPC Flow Logs können Sie Informationen über den IP-Adressverkehr zu und von Netzwerkschnittstellen in Ihrer VPC erfassen. Nachdem Sie ein Flow-Protokoll erstellt haben, können Sie die zugehörigen Daten in CloudWatch Logs anzeigen und abrufen. Um die Kosten zu senken, können Sie Ihre Flow-Logs auch an Amazon S3 senden. 

Security Hub CSPM empfiehlt, die Flussprotokollierung für zurückgewiesene Pakete für zu aktivieren. VPCs Flow-Logs bieten Einblick in den Netzwerkverkehr, der die VPC durchquert, und können anomalen Datenverkehr erkennen oder Einblicke in Sicherheitsworkflows geben.

Standardmäßig enthält der Datensatz Werte für die verschiedenen Komponenten des IP-Adressflusses, einschließlich Quelle, Ziel und Protokoll. Weitere Informationen und Beschreibungen der Protokollfelder finden Sie unter [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) im *Amazon VPC-Benutzerhandbuch*.

### Abhilfe
<a name="ec2-6-remediation"></a>

Informationen zum Erstellen eines VPC-Flow-Protokolls finden Sie unter [Erstellen eines Flow-Protokolls](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log) im *Amazon VPC-Benutzerhandbuch*. Nachdem Sie die Amazon VPC-Konsole geöffnet haben, wählen Sie **Your VPCs**. Wählen Sie für **Filter** **Ablehnen** oder **Alle**.

## [EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein
<a name="ec2-7"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/5.1.1, CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS Foundations Benchmark v3.0.0/2.2.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 SI-7 (6) AWS NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Diese Kontrolle prüft, ob die Verschlüsselung auf Kontoebene standardmäßig für Amazon Elastic Block Store (Amazon EBS) -Volumes aktiviert ist. Die Kontrolle schlägt fehl, wenn die Verschlüsselung auf Kontoebene für EBS-Volumes nicht aktiviert ist. 

Wenn die Verschlüsselung für Ihr Konto aktiviert ist, werden Amazon EBS-Volumes und Snapshot-Kopien im Ruhezustand verschlüsselt. Dies bietet eine zusätzliche Schutzebene für Ihre Daten. Weitere Informationen finden Sie unter [Standardmäßige Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) im *Amazon-EC2-Benutzerhandbuch*.

### Abhilfe
<a name="ec2-7-remediation"></a>

Informationen zur Konfiguration der Standardverschlüsselung für Amazon EBS-Volumes finden Sie [unter Standardverschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2
<a name="ec2-8"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/5.7, CIS AWS Foundations Benchmark v3.0.0/5.6,, NIST.800-53.r5 AC-3 (15), (7) NIST.800-53.r5 AC-3, PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Kategorie**: Schützen > Netzwerksicherheit

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::Instance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Ihre EC2-Instance-Metadatenversion mit Version 2 (IMDSv2) für den Instanz-Metadatendienst konfiguriert ist. Das Steuerelement `HttpTokens` ist erfolgreich, wenn es auf Erforderlich für IMDSv2 gesetzt ist. Das Steuerelement schlägt fehl, wenn auf gesetzt `HttpTokens` ist`optional`.

Sie verwenden Instanz-Metadaten, um die laufende Instanz zu konfigurieren oder zu verwalten. Das IMDS bietet Zugriff auf temporäre, häufig wechselnde Anmeldeinformationen. Mit diesen Anmeldeinformationen entfällt die Notwendigkeit, vertrauliche Anmeldeinformationen manuell oder programmgesteuert fest zu codieren oder vertrauliche Anmeldeinformationen an Instanzen zu verteilen. Das IMDS ist lokal an jede EC2-Instance angehängt. Es läuft auf einer speziellen „Link Local“ -IP-Adresse 169.254.169.254. Auf diese IP-Adresse kann nur mit Software zugegriffen werden, die auf der Instance ausgeführt wird.

Version 2 des IMDS bietet neue Schutzmaßnahmen für die folgenden Arten von Sicherheitslücken. Diese Sicherheitslücken könnten genutzt werden, um zu versuchen, auf das IMDS zuzugreifen.
+ Öffnen Sie die Firewalls für Websites und Anwendungen
+ Öffnen Sie Reverse-Proxys
+ Sicherheitslücken bei serverseitiger Anforderungsfälschung (SSRF)
+ Offene Layer-3-Firewalls und Network Address Translation (NAT)

Security Hub CSPM empfiehlt, dass Sie Ihre EC2-Instances mit konfigurieren. IMDSv2

### Abhilfe
<a name="ec2-8-remediation"></a>

Informationen zur Konfiguration von EC2-Instances mit IMDSv2 finden Sie unter [Recommended path to IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2) required im *Amazon EC2-Benutzerhandbuch*.

## [EC2.9] Amazon EC2 EC2-Instances sollten keine öffentliche Adresse haben IPv4
<a name="ec2-9"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::Instance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob EC2-Instances eine öffentliche IP-Adresse haben. Die Steuerung schlägt fehl, wenn das `publicIp` Feld im EC2-Instance-Konfigurationselement vorhanden ist. Dieses Steuerelement gilt nur für IPv4 Adressen. 

Eine öffentliche IPv4-Adresse ist eine IP-Adresse, die über das Internet erreichbar ist. Wenn Sie Ihre Instance mit einer öffentlichen IP-Adresse starten, ist Ihre EC2-Instance über das Internet erreichbar. Eine private IPv4-Adresse ist eine IP-Adresse, die über das Internet nicht erreichbar ist. Sie können private IPv4-Adressen für die Kommunikation zwischen EC2-Instances in derselben VPC oder in Ihrem verbundenen privaten Netzwerk verwenden.

IPv6 Adressen sind weltweit einzigartig und daher über das Internet erreichbar. Standardmäßig ist das IPv6 Adressierungsattribut jedoch in allen Subnetzen auf False gesetzt. Weitere Informationen IPv6 finden Sie unter [IP-Adressierung in Ihrer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) im *Amazon VPC-Benutzerhandbuch*.

Wenn Sie einen legitimen Anwendungsfall für die Verwaltung von EC2-Instances mit öffentlichen IP-Adressen haben, können Sie die Ergebnisse dieser Kontrolle unterdrücken. Weitere Informationen zu Frontend-Architekturoptionen finden Sie im [AWS Architektur-Blog](https://aws.amazon.com/blogs/architecture/) oder in der [AWS Videoserie This Is My Architecture-Serie](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile).

### Abhilfe
<a name="ec2-9-remediation"></a>

Verwenden Sie eine nicht standardmäßige VPC, damit Ihrer Instance standardmäßig keine öffentliche IP-Adresse zugewiesen wird.

Wenn Sie eine EC2-Instance in einer Standard-VPC VPC, wird ihr eine öffentliche IP-Adresse zugewiesen. Wenn Sie eine EC2-Instance in einer nicht standardmäßigen VPC starten, bestimmt die Subnetzkonfiguration, ob sie eine öffentliche IP-Adresse erhält. Das Subnetz verfügt über ein Attribut, das bestimmt, ob neue EC2-Instances im Subnetz eine öffentliche IP-Adresse aus dem öffentlichen Adresspool erhalten. IPv4 

Sie können eine automatisch zugewiesene öffentliche IP-Adresse von Ihrer EC2-Instance trennen. Weitere Informationen finden Sie unter [Öffentliche IPv4 Adressen und externe DNS-Hostnamen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon EC2-Service erstellt wurden
<a name="ec2-10"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.13.1

**Kategorie**: Schützen > Sichere Netzwerkkonfiguration > Privater API-Zugriff

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::VPC`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** 
+ `serviceName`: `ec2` (nicht anpassbar)

Dieses Steuerelement prüft, ob für jede VPC ein Service-Endpunkt für Amazon EC2 erstellt wurde. Die Steuerung schlägt fehl, wenn für eine VPC kein VPC-Endpunkt für den Amazon EC2-Service erstellt wurde. 

Diese Kontrolle bewertet Ressourcen in einem einzigen Konto. Es kann keine Ressourcen beschreiben, die sich außerhalb des Kontos befinden. Da AWS Config Security Hub CSPM keine kontoübergreifenden Prüfungen durchführt, werden Sie feststellen, VPCs dass die `FAILED` Ergebnisse für alle Konten gemeinsam genutzt werden. Security Hub CSPM empfiehlt, diese `FAILED` Ergebnisse zu unterdrücken.

Um die Sicherheitslage Ihrer VPC zu verbessern, können Sie Amazon EC2 so konfigurieren, dass es einen VPC-Schnittstellen-Endpunkt verwendet. Schnittstellenendpunkte werden von einer Technologie unterstützt AWS PrivateLink, mit der Sie privat auf Amazon EC2 EC2-API-Operationen zugreifen können. Es schränkt den gesamten Netzwerkverkehr zwischen Ihrer VPC und Amazon EC2 auf das Amazon-Netzwerk ein. Da Endpoints nur in derselben Region unterstützt werden, können Sie keinen Endpunkt zwischen einer VPC und einem Service in einer anderen Region erstellen. Dies verhindert unbeabsichtigte Amazon EC2 EC2-API-Aufrufe in andere Regionen. 

*Weitere Informationen zum Erstellen von VPC-Endpunkten für Amazon EC2 finden Sie unter [Amazon EC2 und Interface-VPC-Endpoints](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html) im Amazon EC2 EC2-Benutzerhandbuch.*

### Abhilfe
<a name="ec2-10-remediation"></a>

*Informationen zum Erstellen eines Schnittstellenendpunkts zu Amazon EC2 über die Amazon VPC-Konsole finden Sie unter [Erstellen eines VPC-Endpunkts im Handbuch](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws).AWS PrivateLink * **Wählen Sie für den **Servicenamen com.amazonaws** aus. *region*.ec2.**

Sie können auch eine Endpunktrichtlinie erstellen und an Ihren VPC-Endpunkt anhängen, um den Zugriff auf die Amazon EC2 EC2-API zu kontrollieren. Anweisungen zum Erstellen einer VPC-Endpunktrichtlinie finden Sie unter [Erstellen einer Endpunktrichtlinie](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.12] Unbenutztes Amazon EC2 sollte entfernt EIPs werden
<a name="ec2-12"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/2.4, NIST.800-53.R5 CM-8 (1)

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::EIP`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Elastic IP (EIP) -Adressen, die einer VPC zugewiesen sind, an EC2-Instances oder verwendete elastische Netzwerkschnittstellen () angehängt sind. ENIs

Ein fehlgeschlagener Befund deutet darauf hin, dass Sie EC2 möglicherweise nicht genutzt haben. EIPs

Auf diese Weise können Sie ein genaues Inventar der EIPs in Ihrer Karteninhaberdatenumgebung (CDE) gespeicherten Daten verwalten.

### Abhilfe
<a name="ec2-12-remediation"></a>

Informationen zur Freigabe einer ungenutzten EIP finden Sie unter [Eine Elastic IP-Adresse veröffentlichen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen
<a name="ec2-13"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/4.1,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2, PCI DSS v4.0.1/1.3.1 1.3.1

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::SecurityGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)

**Art des Zeitplans:** Ausgelöste und periodische Änderung

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon EC2-Sicherheitsgruppe den Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugriff von 0.0.0.0/0 oder: :/0 zu Port 22 zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Unsere Empfehlung ist, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Port 22 für eingehenden Datenverkehr erlauben sollte. Durch die Unterbindung der uneingeschränkten Konnektivität mit Remote-Konsolenservices wie SSH wird die Risikoaussetzung eines Servers reduziert.

### Abhilfe
<a name="ec2-13-remediation"></a>

Um den Zugang zu Port 22 zu verhindern, entfernen Sie die Regel, die diesen Zugriff für jede Sicherheitsgruppe, die einer VPC zugeordnet ist, erlaubt. Anweisungen finden Sie unter [Sicherheitsgruppenregeln aktualisieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) im *Amazon EC2 EC2-Benutzerhandbuch*. Nachdem Sie in der Amazon EC2 EC2-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie **Aktionen, Regeln für eingehenden Datenverkehr bearbeiten**. Entfernen Sie die Regel, die den Zugriff auf Port 22 ermöglicht.

## [EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen
<a name="ec2-14"></a>

**Verwandte Anforderungen**: CIS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1 AWS 

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::SecurityGroup`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(Die erstellte Regel ist`restricted-rdp`)

**Art des Zeitplans:** Ausgelöste und periodische Änderung

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon EC2-Sicherheitsgruppe den Zugriff von 0.0.0.0/0 oder: :/0 zu Port 3389 zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Unsere Empfehlung ist, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Port 3389 für eingehenden Datenverkehr erlauben sollte. Durch die Unterbindung der uneingeschränkten Konnektivität mit Remote-Konsolenservices wie RDP wird die Risikoaussetzung eines Servers reduziert.

### Abhilfe
<a name="ec2-14-remediation"></a>

Um den Zugriff auf Port 3389 zu verhindern, entfernen Sie die Regel, die diesen Zugriff für jede Sicherheitsgruppe, die einer VPC zugeordnet ist, erlaubt. Anweisungen finden Sie unter [Sicherheitsgruppenregeln aktualisieren](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules) im *Amazon VPC-Benutzerhandbuch*. Nachdem Sie in der Amazon VPC-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie **Aktionen, Regeln für eingehenden Datenverkehr bearbeiten**. Entfernen Sie die Regel, die den Zugriff auf Port 3389 ermöglicht.

## [EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen
<a name="ec2-15"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI NIST.800-53.r5 SC-7 DSS v4.0.1/1.4.4

**Kategorie: Schützen > Netzwerksicherheit**

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::Subnet`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon Virtual Private Cloud (Amazon VPC) -Subnetz so konfiguriert ist, dass es automatisch öffentliche IP-Adressen zuweist. Die Steuerung schlägt fehl, wenn das Subnetz so konfiguriert ist, dass es automatisch öffentliche IPv4 Adressen oder Adressen zuweist. IPv6 

Subnetze verfügen über Attribute, die bestimmen, ob Netzwerkschnittstellen automatisch öffentliche Adressen IPv4 erhalten. IPv6 Für IPv4 ist dieses Attribut für Standard-Subnetze und `TRUE` für nicht standardmäßige Subnetze auf gesetzt (mit einer Ausnahme `FALSE` für nicht standardmäßige Subnetze, die mit dem EC2 Launch Instance Wizard erstellt wurden, wo es auf gesetzt ist). `TRUE` Für IPv6 ist dieses Attribut standardmäßig auf für alle Subnetze gesetzt`FALSE`. Wenn diese Attribute aktiviert sind, erhalten Instances, die im Subnetz gestartet werden, automatisch die entsprechenden IP-Adressen (IPv4 oder IPv6) auf ihrer primären Netzwerkschnittstelle.

### Abhilfe
<a name="ec2-15-remediation"></a>

Informationen zur Konfiguration eines Subnetzes, sodass keine öffentlichen IP-Adressen zugewiesen werden, finden Sie unter [Ändern der IP-Adressierungsattribute Ihres Subnetzes](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html) im *Amazon VPC-Benutzerhandbuch*.

## [EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden
<a name="ec2-16"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 CM-8 (1), NIST.800-171.R2 3.4.7, PCI DSS v4.0.1/1.2.7

**Kategorie**: Schützen > Netzwerksicherheit

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::NetworkAcl`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob es in Ihrer Virtual Private Cloud (VPC ACLs) ungenutzte Netzwerkzugriffskontrolllisten (Netzwerk) gibt. Die Steuerung schlägt fehl, wenn die Netzwerk-ACL keinem Subnetz zugeordnet ist. Das Steuerelement generiert keine Ergebnisse für eine ungenutzte Standard-Netzwerk-ACL.

Das Steuerelement überprüft die Elementkonfiguration der Ressource `AWS::EC2::NetworkAcl` und bestimmt die Beziehungen der Netzwerk-ACL.

Wenn die einzige Beziehung die VPC der Netzwerk-ACL ist, schlägt die Steuerung fehl.

Wenn andere Beziehungen aufgeführt sind, ist die Kontrolle erfolgreich.

### Abhilfe
<a name="ec2-16-remediation"></a>

Anweisungen zum Löschen einer ungenutzten Netzwerk-ACL finden Sie unter [Löschen einer Netzwerk-ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL) im *Amazon VPC-Benutzerhandbuch*. Sie können die Standard-Netzwerk-ACL oder eine ACL, die Subnetzen zugeordnet ist, nicht löschen.

## [EC2.17] Amazon EC2 EC2-Instances sollten nicht mehrere verwenden ENIs
<a name="ec2-17"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (21)

**Kategorie:** Schützen > Netzwerksicherheit

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::Instance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine EC2-Instance mehrere Elastic Network Interfaces (ENIs) oder Elastic Fabric Adapters (EFAs) verwendet. Dieses Steuerelement ist erfolgreich, wenn ein einziger Netzwerkadapter verwendet wird. Das Steuerelement enthält eine optionale Parameterliste zur Identifizierung der zulässigen ENIs. Diese Kontrolle schlägt auch fehl, wenn eine EC2-Instance, die zu einem Amazon EKS-Cluster gehört, mehr als eine ENI verwendet. Wenn Ihre EC2-Instances mehrere ENIs als Teil eines Amazon EKS-Clusters benötigen, können Sie diese Kontrollergebnisse unterdrücken.

Mehrere ENIs können zu doppelt vernetzten Instances führen, d. h. zu Instances mit mehreren Subnetzen. Dies kann die Komplexität der Netzwerksicherheit erhöhen und unbeabsichtigte Netzwerkpfade und Zugriffe zur Folge haben.

### Abhilfe
<a name="ec2-17-remediation"></a>

Informationen zum Trennen einer Netzwerkschnittstelle von einer EC2-Instance finden Sie unter [Trennen einer Netzwerkschnittstelle von einer Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen
<a name="ec2-18"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.20, NIST.800-171.R2 3.13.1

**Kategorie**: Schützen > Sichere Netzwerkkonfiguration > Konfiguration der Sicherheitsgruppe

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::SecurityGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `authorizedTcpPorts`  |  Liste der autorisierten TCP-Ports  |  IntegerList (mindestens 1 Artikel und maximal 32 Artikel)  |  `1` auf `65535`  |  `[80,443]`  | 
|  `authorizedUdpPorts`  |  Liste der autorisierten UDP-Ports  |  IntegerList (mindestens 1 Artikel und maximal 32 Artikel)  |  `1` auf `65535`  |  Kein Standardwert  | 

Diese Kontrolle prüft, ob eine Amazon EC2-Sicherheitsgruppe uneingeschränkten eingehenden Datenverkehr von nicht autorisierten Ports zulässt. Der Kontrollstatus wird wie folgt bestimmt:
+ Wenn Sie den Standardwert für verwenden`authorizedTcpPorts`, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Verkehr von einem anderen Port als den Ports 80 und 443 zulässt.
+ Wenn Sie benutzerdefinierte Werte für `authorizedTcpPorts` oder angeben, schlägt die Steuerung fehl`authorizedUdpPorts`, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Verkehr von einem nicht aufgelisteten Port zulässt.

Sicherheitsgruppen bieten eine statusabhängige Filterung von eingehendem und ausgehendem Netzwerkverkehr zu. AWS Sicherheitsgruppenregeln sollten dem Prinzip des Zugriffs mit den geringsten Rechten folgen. Uneingeschränkter Zugriff (IP-Adresse mit dem Suffix /0) erhöht die Wahrscheinlichkeit bösartiger Aktivitäten wie Hacking, denial-of-service Angriffe und Datenverlust. Sofern ein Port nicht ausdrücklich zugelassen ist, sollte der Port den uneingeschränkten Zugriff verweigern.

### Abhilfe
<a name="ec2-18-remediation"></a>

Informationen zum Ändern einer Sicherheitsgruppe finden Sie unter [Arbeiten mit Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html) im *Amazon VPC-Benutzerhandbuch*.

## [EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen
<a name="ec2-19"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 (11), (16) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.20, NIST.800-171.r2 3.13.1

**Kategorie**: Schützen > Eingeschränkter Netzwerkzugriff

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::EC2::SecurityGroup`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(Die erstellte Regel ist`vpc-sg-restricted-common-ports`)

**Art des Zeitplans:** Ausgelöste und periodische Änderung

**Parameter:** `"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"` (nicht anpassbar)

Diese Kontrolle prüft, ob uneingeschränkter eingehender Verkehr für eine Amazon EC2-Sicherheitsgruppe für die angegebenen Ports, die als risikoreich gelten, zugänglich ist. Diese Kontrolle schlägt fehl, wenn eine der Regeln in einer Sicherheitsgruppe eingehenden Datenverkehr von '0.0.0.0/0' oder ': :/0' zu diesen Ports zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Uneingeschränkter Zugriff (0.0.0.0/0) erhöht die Wahrscheinlichkeit bösartiger Aktivitäten wie Hacking, Angriffe und Datenverlust. denial-of-service Keine Sicherheitsgruppe sollte uneingeschränkten Zugriff auf die folgenden Ports zulassen:
+ 20, 21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ 110 () POP3
+ 135 (PRO STÜCK)
+ 143 (IMAP)
+ 445 (CIFS)
+ 1433, 1434 (MSSQL)
+ 3000 (Go-, Node.js- und Ruby-Frameworks für die Webentwicklung)
+ 3306 (MySQL)
+ 3389 (RDP)
+ 4333 (ahsp)
+ 5000 (Python-Frameworks für die Webentwicklung)
+ 5432 (Postgresql)
+ 5500 (1) fcp-addr-srvr 
+ 5601 (Armaturenbretter) OpenSearch 
+ 8080 (Proxy)
+ 8088 (älterer HTTP-Port)
+ 8888 (alternativer HTTP-Port)
+ 9200 oder 9300 () OpenSearch

### Abhilfe
<a name="ec2-19-remediation"></a>

Informationen zum Löschen von Regeln aus einer Sicherheitsgruppe finden [Sie unter Regeln aus einer Sicherheitsgruppe löschen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein
<a name="ec2-20"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5), NIST.800-171.R2 3.1.13, NIST.800-171.R2 3.1.20

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel 

**Art der Ressource:** `AWS::EC2::VPNConnection`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Ein VPN-Tunnel ist eine verschlüsselte Verbindung, über die Daten vom Kundennetzwerk zu oder aus AWS einer AWS Site-to-Site VPN-Verbindung übertragen werden können. Jede VPN-Verbindung umfasst zwei VPN-Tunnel, die Sie für eine hohe Verfügbarkeit gleichzeitig verwenden können. Es ist wichtig, sicherzustellen, dass beide VPN-Tunnel für eine VPN-Verbindung verfügbar sind, um eine sichere und hochverfügbare Verbindung zwischen einer AWS VPC und Ihrem Remote-Netzwerk zu bestätigen.

Diese Steuerung überprüft, ob sich beide von VPN bereitgestellten AWS Site-to-Site VPN-Tunnel im UP-Status befinden. Die Steuerung schlägt fehl, wenn sich einer oder beide Tunnel im Status DOWN befinden.

### Abhilfe
<a name="ec2-20-remediation"></a>

Informationen zum Ändern der VPN-Tunneloptionen finden Sie unter [Ändern der Site-to-Site VPN-Tunneloptionen](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html) im AWS Site-to-Site VPN-Benutzerhandbuch.

## [EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen
<a name="ec2-21"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/5.2, CIS AWS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, NIST.800-53.r5 AC-4 (21), (1), (21), NIST.800-53.r5 CA-9 NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.13.1, PCI DSS v4.0.1/1.3.1

**Kategorie**: Schützen > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel 

**Art der Ressource:** `AWS::EC2::NetworkAcl`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Netzwerkzugriffskontrollliste (Network Access Control List, Netzwerk-ACL) uneingeschränkten Zugriff auf die Standard-TCP-Ports für SSH/RDP eingehenden Datenverkehr ermöglicht. Die Steuerung schlägt fehl, wenn der eingehende Netzwerk-ACL-Eintrag einen Quell-CIDR-Block von '0.0.0.0/0' oder ': :/0' für die TCP-Ports 22 oder 3389 zulässt. Das Steuerelement generiert keine Ergebnisse für eine Standard-Netzwerk-ACL.

Der Zugriff auf Remoteserveradministrationsports, wie Port 22 (SSH) und Port 3389 (RDP), sollte nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ressourcen innerhalb Ihrer VPC ermöglichen kann.

### Abhilfe
<a name="ec2-21-remediation"></a>

Informationen zum Bearbeiten von Netzwerk-ACL-Verkehrsregeln finden Sie unter [Arbeiten mit dem Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) im *Amazon VPC-Benutzerhandbuch*.

## [EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
<a name="ec2-22"></a>

**Kategorie:** Identifizieren > Bestand

**Schweregrad:** Mittel 

**Ressourcentyp**:, `AWS::EC2::NetworkInterface` `AWS::EC2::SecurityGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Diese Kontrolle prüft, ob Sicherheitsgruppen an Amazon Elastic Compute Cloud (Amazon EC2) -Instances oder an eine elastic network interface angehängt sind. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe keiner Amazon EC2 EC2-Instance oder einer elastic network interface zugeordnet ist.

**Wichtig**  
Am 20. September 2023 hat Security Hub CSPM diese Kontrolle aus den Standards AWS Foundation Security Best Practices und NIST SP 800-53 Revision 5 entfernt. Diese Kontrolle ist weiterhin Teil des Service-Managed-Standards. AWS Control Tower Dieses Steuerelement führt zu einer bestandenen Feststellung, ob Sicherheitsgruppen an EC2-Instances oder eine elastic network interface angehängt sind. In bestimmten Anwendungsfällen stellen nicht verknüpfte Sicherheitsgruppen jedoch kein Sicherheitsrisiko dar. Sie können andere EC2-Steuerelemente wie EC2.2, EC2.13, EC2.14, EC2.18 und EC2.19 verwenden, um Ihre Sicherheitsgruppen zu überwachen.

### Abhilfe
<a name="ec2-22-remediation"></a>

Informationen zum Erstellen, Zuweisen und Löschen von Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen für Ihre EC2-Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren
<a name="ec2-23"></a>

**Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21), (1**), NIST.800-53.R5 NIST.800-53.r5 CA-9 CM-2

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Hoch 

**Art der Ressource:** `AWS::EC2::TransitGateway`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob EC2-Transit-Gateways gemeinsam genutzte VPC-Anhänge automatisch akzeptieren. Diese Steuerung schlägt bei einem Transit-Gateway fehl, das automatisch gemeinsame VPC-Anhangsanforderungen akzeptiert.

Durch die Aktivierung wird ein Transit-Gateway so `AutoAcceptSharedAttachments` konfiguriert, dass es automatisch alle kontoübergreifenden VPC-Anhangsanforderungen akzeptiert, ohne die Anfrage oder das Konto, von dem der Anhang stammt, zu überprüfen. Um den bewährten Methoden der Autorisierung und Authentifizierung zu folgen, empfehlen wir, diese Funktion zu deaktivieren, um sicherzustellen, dass nur autorisierte VPC-Anhangsanfragen akzeptiert werden.

### Abhilfe
<a name="ec2-23-remediation"></a>

Informationen zum Ändern eines Transit-Gateways finden Sie unter [Modifizieren eines Transit-Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying) im Amazon VPC Developer Guide.

## [EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
<a name="ec2-24"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

**Kategorie**: Identifizieren > Schwachstellen-, Patch- und Versionsverwaltung

**Schweregrad:** Mittel 

**Art der Ressource:** `AWS::EC2::Instance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob der Virtualisierungstyp einer EC2-Instance paravirtuell ist. Die Steuerung schlägt fehl, wenn der `virtualizationType` der EC2-Instance auf eingestellt ist. `paravirtual`

Linux Amazon Machine Images (AMIs) verwenden eine von zwei Arten der Virtualisierung: paravirtuelle (PV) oder virtuelle Hardware-Maschine (HVM). Die Hauptunterschiede zwischen PV und HVM AMIs bestehen in der Art und Weise, wie sie booten und ob sie spezielle Hardwareerweiterungen (CPU, Netzwerk und Speicher) für eine bessere Leistung nutzen können.

In der Vergangenheit hatten PV-Gäste in vielen Fällen eine bessere Leistung als HVM-Gäste, aber aufgrund der Verbesserungen bei der HVM-Virtualisierung und der Verfügbarkeit von PV-Treibern für HVM AMIs ist dies nicht mehr der Fall. Weitere Informationen finden Sie unter [Linux-AMI-Virtualisierungstypen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html) im Amazon EC2 EC2-Benutzerhandbuch.

### Abhilfe
<a name="ec2-24-remediation"></a>

Informationen zum Aktualisieren einer EC2-Instance auf einen neuen Instance-Typ finden Sie unter [Ändern des Instance-Typs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen
<a name="ec2-25"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Hoch 

**Art der Ressource:** `AWS::EC2::LaunchTemplate`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Amazon EC2 EC2-Startvorlagen so konfiguriert sind, dass Netzwerkschnittstellen beim Start öffentliche IP-Adressen zugewiesen werden. Die Steuerung schlägt fehl, wenn eine EC2-Startvorlage so konfiguriert ist, dass sie Netzwerkschnittstellen eine öffentliche IP-Adresse zuweist, oder wenn mindestens eine Netzwerkschnittstelle mit einer öffentlichen IP-Adresse vorhanden ist.

Eine öffentliche IP-Adresse ist eine, die über das Internet erreichbar ist. Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die mit diesen Netzwerkschnittstellen verknüpften Ressourcen möglicherweise vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Workloads ermöglichen kann.

### Abhilfe
<a name="ec2-25-remediation"></a>

Informationen zum Aktualisieren einer EC2-Startvorlage finden Sie unter [Ändern der Standardeinstellungen für die Netzwerkschnittstelle](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface) im *Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch*.

## [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden
<a name="ec2-28"></a>

**Kategorie:** Wiederherstellung > Ausfallsicherheit > Backups aktiviert

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::Volume`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html)**``

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  Das Steuerelement ermittelt, `PASSED` ob der Parameter auf gesetzt ist `true` und die Ressource AWS Backup Vault Lock verwendet.  |  Boolesch  |  `true` oder `false`  |  Kein Standardwert  | 

Diese Kontrolle bewertet, ob ein Amazon EBS-Volume im `in-use` Status durch einen Backup-Plan abgedeckt ist. Die Kontrolle schlägt fehl, wenn ein EBS-Volume nicht durch einen Sicherungsplan abgedeckt ist. Wenn Sie den `backupVaultLockCheck` Parameter auf gleich setzen`true`, ist die Steuerung nur erfolgreich, wenn das EBS-Volume in einem AWS Backup gesperrten Tresor gesichert ist.

Mithilfe von Backups können Sie sich nach einem Sicherheitsvorfall schneller erholen. Sie stärken auch die Widerstandsfähigkeit Ihrer Systeme. Wenn Sie Amazon EBS-Volumes in einen Backup-Plan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschung schützen.

### Abhilfe
<a name="ec2-28-remediation"></a>

Informationen zum Hinzufügen eines Amazon EBS-Volumes zu einem AWS Backup Backup-Plan finden Sie unter [Zuweisen von Ressourcen zu einem Backup-Plan](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) im *AWS Backup Entwicklerhandbuch*.

## [EC2.33] EC2 Transit Gateway-Anhänge sollten markiert werden
<a name="ec2-33"></a>

**Kategorie: Identifizieren > Inventar** > Kennzeichnung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::TransitGatewayAttachment`

**AWS Config Regel:** `tagged-ec2-transitgatewayattachment` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EC2-Transit-Gateway-Anhang Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Kontrolle schlägt fehl, wenn der Transit-Gateway-Anhang keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft die Steuerung nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Transit-Gateway-Anhang mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-33-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2 Transit Gateway-Anhang finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden
<a name="ec2-34"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::TransitGatewayRouteTable`

**AWS Config Regel:** `tagged-ec2-transitgatewayroutetable` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2-Transit-Gateway-Routentabelle Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die Transit-Gateway-Routentabelle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Transit-Gateway-Routentabelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-34-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer EC2-Transit-Gateway-Routentabelle finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.35] EC2-Netzwerkschnittstellen sollten markiert werden
<a name="ec2-35"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::NetworkInterface`

**AWS Config Regel:** `tagged-ec2-networkinterface` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2 EC2-Netzwerkschnittstelle Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die Netzwerkschnittstelle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Netzwerkschnittstelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-35-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer EC2-Netzwerkschnittstelle finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.36] EC2-Kunden-Gateways sollten mit Tags versehen werden
<a name="ec2-36"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::CustomerGateway`

**AWS Config Regel:** `tagged-ec2-customergateway` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EC2 EC2-Kunden-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Kontrolle schlägt fehl, wenn das Kunden-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Kunden-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-36-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2-Kunden-Gateway finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.37] EC2-Elastic-IP-Adressen sollten mit Tags versehen werden
<a name="ec2-37"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::EIP`

**AWS Config Regel:** `tagged-ec2-eip` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2 Elastic IP-Adresse über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die Elastic IP-Adresse keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Elastic IP-Adresse mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-37-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer EC2 Elastic IP-Adresse finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.38] EC2-Instances sollten markiert werden
<a name="ec2-38"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::Instance`

**AWS Config Regel:** `tagged-ec2-instance` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2 EC2-Instance Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die Instance keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Instanz mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-38-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer EC2-Instance finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.39] EC2-Internet-Gateways sollten markiert werden
<a name="ec2-39"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::InternetGateway`

**AWS Config Regel:** `tagged-ec2-internetgateway` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EC2 EC2-Internet-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn das Internet-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Internet-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-39-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2-Internet-Gateway finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.40] EC2-NAT-Gateways sollten markiert werden
<a name="ec2-40"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::NatGateway`

**AWS Config Regel:** `tagged-ec2-natgateway` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EC2 EC2-Gateway zur Netzwerkadressübersetzung (NAT) Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn das NAT-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das NAT-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-40-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2-NAT-Gateway finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.41] Das EC2-Netzwerk sollte markiert werden ACLs
<a name="ec2-41"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::NetworkAcl`

**AWS Config Regel:** `tagged-ec2-networkacl` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2 EC2-Netzwerkzugriffskontrollliste (Network ACL) Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Kontrolle schlägt fehl, wenn die Netzwerk-ACL keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Netzwerk-ACL mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-41-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer EC2-Netzwerk-ACL finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.42] EC2-Routing-Tabellen sollten mit Tags versehen werden
<a name="ec2-42"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::RouteTable`

**AWS Config Regel:** `tagged-ec2-routetable` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2 EC2-Routentabelle Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die Routing-Tabelle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Routing-Tabelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-42-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer EC2-Routing-Tabelle finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.43] EC2-Sicherheitsgruppen sollten markiert werden
<a name="ec2-43"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::SecurityGroup`

**AWS Config Regel:** `tagged-ec2-securitygroup` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2-Sicherheitsgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Sicherheitsgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-43-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer EC2-Sicherheitsgruppe finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.44] EC2-Subnetze sollten markiert werden
<a name="ec2-44"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::Subnet`

**AWS Config Regel:** `tagged-ec2-subnet` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EC2-Subnetz Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind. `requiredTagKeys` Die Steuerung schlägt fehl, wenn das Subnetz keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hat. `requiredTagKeys` Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Subnetz mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-44-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2-Subnetz finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.45] EC2-Volumes sollten markiert werden
<a name="ec2-45"></a>

**Kategorie: Identifizieren > Inventar** > Kennzeichnung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::Volume`

**AWS Config Regel:** `tagged-ec2-volume` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EC2 EC2-Volume Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn das Volume keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Volume mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-45-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2-Volume finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.46] Amazon VPCs sollte markiert werden
<a name="ec2-46"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::VPC`

**AWS Config Regel:** `tagged-ec2-vpc` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon Virtual Private Cloud (Amazon VPC) Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die Amazon VPC keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Amazon VPC mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-46-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer VPC finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.47] Amazon VPC Endpoint Services sollten markiert werden
<a name="ec2-47"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::VPCEndpointService`

**AWS Config Regel:** `tagged-ec2-vpcendpointservice` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon VPC-Endpunktservice über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn der Endpunkt-Service keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Endpunktdienst mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-47-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Amazon VPC-Endpunktservice finden Sie unter [Tags verwalten](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags) im Abschnitt [Konfiguration eines Endpunktdienstes](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html) des *AWS PrivateLink Handbuchs*.

## [EC2.48] Amazon VPC-Flow-Logs sollten markiert werden
<a name="ec2-48"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::FlowLog`

**AWS Config Regel:** `tagged-ec2-flowlog` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon VPC-Flow-Log Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn das Flow-Protokoll keine Tag-Schlüssel enthält oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Flow-Protokoll mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-48-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Amazon VPC-Flow-Protokoll finden Sie unter [Taggen eines Flow-Protokolls](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs) im *Amazon VPC-Benutzerhandbuch*.

## [EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden
<a name="ec2-49"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::VPCPeeringConnection`

**AWS Config Regel:** `tagged-ec2-vpcpeeringconnection` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon VPC-Peering-Verbindung Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind. `requiredTagKeys` Die Steuerung schlägt fehl, wenn die Peering-Verbindung keine Tag-Schlüssel hat oder wenn nicht alle im Parameter angegebenen Schlüssel vorhanden sind. `requiredTagKeys` Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Peering-Verbindung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-49-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Amazon VPC-Peering-Verbindung finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *EC2-Benutzerhandbuch*.

## [EC2.50] EC2-VPN-Gateways sollten markiert werden
<a name="ec2-50"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::VPNGateway`

**AWS Config Regel:** `tagged-ec2-vpngateway` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EC2 EC2-VPN-Gateway über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn das VPN-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das VPN-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-50-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2-VPN-Gateway finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
<a name="ec2-51"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), NIST.800-171.R2 3.1.12, NIST.800-171.12, NIST.800-171.12 R2 3.1.20, PCI DSS v4.0.1/10.2.1

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::ClientVpnEndpoint`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html)**``

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für einen AWS Client VPN Endpunkt die Client-Verbindungsprotokollierung aktiviert ist. Die Steuerung schlägt fehl, wenn für den Endpunkt die Client-Verbindungsprotokollierung nicht aktiviert ist.

Client-VPN-Endpunkte ermöglichen Remote-Clients die sichere Verbindung zu Ressourcen in einer Virtual Private Cloud (VPC) in. AWS Verbindungsprotokolle ermöglichen es Ihnen, Benutzeraktivitäten auf dem VPN-Endpunkt zu verfolgen und bieten Transparenz. Wenn Sie die Verbindungsprotokollierung aktivieren, können Sie den Namen eines Protokolldatenstroms in der Protokollgruppe angeben. Wenn Sie keinen Protokollstream angeben, erstellt der Client-VPN-Dienst einen für Sie.

### Abhilfe
<a name="ec2-51-remediation"></a>

Informationen zum Aktivieren der Verbindungsprotokollierung finden Sie unter [Aktivieren der Verbindungsprotokollierung für einen vorhandenen Client-VPN-Endpunkt](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing) im *AWS Client VPN Administratorhandbuch*.

## [EC2.52] EC2-Transit-Gateways sollten markiert werden
<a name="ec2-52"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::TransitGateway`

**AWS Config Regel:** `tagged-ec2-transitgateway` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein Amazon EC2-Transit-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Kontrolle schlägt fehl, wenn das Transit-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Transit-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-52-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2-Transit-Gateway finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen
<a name="ec2-53"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/5.3, CIS Foundations Benchmark v3.0.0/5.2, PCI DSS v4.0.1/1.3.1 AWS 

**Kategorie**: Schützen > Sichere Netzwerkkonfiguration > Sicherheitsgruppenkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::SecurityGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  Die IP-Version  |  Zeichenfolge  |  Nicht anpassbar  |  `IPv4`  | 
|  `restrictPorts`  |  Liste der Ports, die eingehenden Datenverkehr ablehnen sollen  |  IntegerList  |  Nicht anpassbar  |  `22,3389`  | 

Dieses Steuerelement prüft, ob eine Amazon EC2-Sicherheitsgruppe den Zugriff von 0.0.0.0/0 zu den Remote-Serververwaltungsports (Ports 22 und 3389) zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugriff von 0.0.0.0/0 zu Port 22 oder 3389 zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Ports für die Remoteserververwaltung zulässt, z. B. SSH zu Port 22 und RDP zu Port 3389, wobei entweder die Protokolle TDP (6), UDP (17) oder ALL (-1) verwendet werden. Wenn der öffentliche Zugriff auf diese Ports zugelassen wird, erhöht sich die Angriffsfläche für Ressourcen und das Risiko einer Beeinträchtigung der Ressourcen.

### Abhilfe
<a name="ec2-53-remediation"></a>

Informationen zum Aktualisieren einer EC2-Sicherheitsgruppenregel, um eingehenden Datenverkehr zu den angegebenen Ports zu verhindern, finden Sie unter [Sicherheitsgruppenregeln aktualisieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) im *Amazon EC2 EC2-Benutzerhandbuch*. Nachdem Sie in der Amazon EC2 EC2-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie **Aktionen, Regeln für eingehenden Datenverkehr bearbeiten**. Entfernen Sie die Regel, die den Zugriff auf Port 22 oder Port 3389 ermöglicht.

## [EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen
<a name="ec2-54"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/5.4, CIS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/1.3.1 AWS 

**Kategorie**: Schützen > Sichere Netzwerkkonfiguration > Sicherheitsgruppenkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::SecurityGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  Die IP-Version  |  Zeichenfolge  |  Nicht anpassbar  |  `IPv6`  | 
|  `restrictPorts`  |  Liste der Ports, die eingehenden Datenverkehr ablehnen sollen  |  IntegerList  |  Nicht anpassbar  |  `22,3389`  | 

Dieses Steuerelement prüft, ob eine Amazon EC2-Sicherheitsgruppe den Zugriff von: :/0 zu den Remote-Serververwaltungsports (Ports 22 und 3389) zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugang von: :/0 zu Port 22 oder 3389 zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Ports für die Remoteserververwaltung zulässt, z. B. SSH zu Port 22 und RDP zu Port 3389, wobei entweder die Protokolle TDP (6), UDP (17) oder ALL (-1) verwendet werden. Wenn der öffentliche Zugriff auf diese Ports zugelassen wird, erhöht sich die Angriffsfläche für Ressourcen und das Risiko einer Beeinträchtigung der Ressourcen.

### Abhilfe
<a name="ec2-54-remediation"></a>

Informationen zum Aktualisieren einer EC2-Sicherheitsgruppenregel, um eingehenden Datenverkehr zu den angegebenen Ports zu verhindern, finden Sie unter [Sicherheitsgruppenregeln aktualisieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) im *Amazon EC2 EC2-Benutzerhandbuch*. Nachdem Sie in der Amazon EC2 EC2-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie **Aktionen, Regeln für eingehenden Datenverkehr bearbeiten**. Entfernen Sie die Regel, die den Zugriff auf Port 22 oder Port 3389 ermöglicht.

## [EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden
<a name="ec2-55"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

**Schweregrad:** Mittel

**Ressourcentyp:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Erforderlich | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Erforderlich  | Der Name des Dienstes, den das Steuerelement auswertet  | Zeichenfolge  | Nicht anpassbar  | ecr.api | 
| vpcIds  | Optional  | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben.  | StringList  | Mit einer oder mehreren VPC anpassen IDs  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt für die Amazon ECR-API verfügt. Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für die ECR-API hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.

### Abhilfe
<a name="ec2-55-remediation"></a>

*Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im AWS PrivateLink Handbuch.*

## [EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
<a name="ec2-56"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

**Schweregrad:** Mittel

**Ressourcentyp:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Erforderlich | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Erforderlich  | Der Name des Dienstes, den das Steuerelement auswertet  | Zeichenfolge  | Nicht anpassbar  | ecr.dkr | 
| vpcIds  | Optional  | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben.  | StringList  | Mit einer oder mehreren VPC anpassen IDs  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt für Docker Registry verfügt. Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für Docker Registry hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.

### Abhilfe
<a name="ec2-56-remediation"></a>

*Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im AWS PrivateLink Handbuch.*

## [EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
<a name="ec2-57"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4)

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

**Schweregrad:** Mittel

**Ressourcentyp:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Erforderlich | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Erforderlich  | Der Name des Dienstes, den das Steuerelement auswertet  | Zeichenfolge  | Nicht anpassbar  | ssm | 
| vpcIds  | Optional  | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben.  | StringList  | Mit einer oder mehreren VPC anpassen IDs  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt verfügt. AWS Systems Manager Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für Systems Manager hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.

### Abhilfe
<a name="ec2-57-remediation"></a>

*Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im AWS PrivateLink Handbuch.*

## [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden
<a name="ec2-58"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4)

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

**Schweregrad:** Mittel

**Ressourcentyp:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Erforderlich | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Erforderlich  | Der Name des Dienstes, den das Steuerelement auswertet  | Zeichenfolge  | Nicht anpassbar  | ssm-contacts | 
| vpcIds  | Optional  | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben.  | StringList  | Mit einer oder mehreren VPC anpassen IDs  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt für AWS Systems Manager Incident Manager-Kontakte verfügt. Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für Systems Manager Incident Manager-Kontakte hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.

### Abhilfe
<a name="ec2-58-remediation"></a>

*Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im AWS PrivateLink Handbuch.*

## [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden
<a name="ec2-60"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4)

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

**Schweregrad:** Mittel

**Ressourcentyp:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Erforderlich | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Erforderlich  | Der Name des Dienstes, den das Steuerelement auswertet  | Zeichenfolge  | Nicht anpassbar  | ssm-incidents | 
| vpcIds  | Optional  | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben.  | StringList  | Mit einer oder mehreren VPC anpassen IDs  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt für AWS Systems Manager Incident Manager verfügt. Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für Systems Manager Incident Manager hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.

### Abhilfe
<a name="ec2-60-remediation"></a>

*Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im AWS PrivateLink Handbuch.*

## [EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2
<a name="ec2-170"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/2.2.6

**Kategorie: Schützen > Netzwerksicherheit**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::LaunchTemplate`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon EC2 EC2-Startvorlage mit Instance Metadata Service Version 2 (IMDSv2) konfiguriert ist. Die Steuerung schlägt fehl, wenn sie auf `optional` gesetzt `HttpTokens` ist.

Das Ausführen von Ressourcen auf unterstützten Softwareversionen gewährleistet optimale Leistung, Sicherheit und Zugriff auf die neuesten Funktionen. Regelmäßige Updates schützen vor Sicherheitslücken und sorgen so für ein stabiles und effizientes Benutzererlebnis.

### Abhilfe
<a name="ec2-170-remediation"></a>

Informationen zur Anforderung von IMDSv2 für eine EC2-Startvorlage finden [Sie unter Configure the Instance Metadata Service options](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein
<a name="ec2-171"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::VPNConnection`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob bei einer AWS Site-to-Site VPN-Verbindung Amazon CloudWatch Logs für beide Tunnel aktiviert ist. Die Kontrolle schlägt fehl, wenn bei einer Site-to-Site VPN-Verbindung CloudWatch Logs nicht für beide Tunnel aktiviert sind.

AWS Site-to-Site VPN-Protokolle bieten Ihnen einen tieferen Einblick in Ihre Site-to-Site VPN-Bereitstellungen. Mit dieser Funktion haben Sie Zugriff auf Site-to-Site VPN-Verbindungsprotokolle, die Einzelheiten zur Einrichtung eines IP-Security-Tunnels (IPsec), zu IKE-Verhandlungen (Internet Key Exchange) und zu DPD-Protokollnachrichten (Dead Peer Detection) enthalten. Site-to-Site VPN-Protokolle können in CloudWatch Logs veröffentlicht werden. Diese Funktion bietet Kunden eine einzige konsistente Möglichkeit, auf detaillierte Protokolle für all ihre Site-to-Site VPN-Verbindungen zuzugreifen und diese zu analysieren.

### Abhilfe
<a name="ec2-171-remediation"></a>

Informationen zur Aktivierung der Tunnelprotokollierung für eine EC2-VPN-Verbindung finden Sie unter [AWS Site-to-Site VPN-Protokolle](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs) im *AWS Site-to-Site VPN-Benutzerhandbuch*.

## [EC2.172] Die EC2 VPC Block Public Access-Einstellungen sollten den Internet-Gateway-Verkehr blockieren
<a name="ec2-172"></a>

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::VPCBlockPublicAccessOptions`

**AWS Config Regel:** `ec2-vpc-bpa-internet-gateway-blocked` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `vpcBpaInternetGatewayBlockMode`  |  Zeichenkettenwert des VPC BPA-Optionsmodus.  |  Enum  |  `block-bidirectional`, `block-ingress`  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob die Amazon EC2 VPC Block Public Access (BPA) -Einstellungen so konfiguriert sind, dass der Internet-Gateway-Verkehr für den gesamten Amazon VPCs in der blockiert wird. AWS-Konto Die Steuerung schlägt fehl, wenn die VPC BPA-Einstellungen nicht so konfiguriert sind, dass sie den Internet-Gateway-Verkehr blockieren. Damit die Kontrolle erfolgreich ist, `InternetGatewayBlockMode` muss der VPC BPA auf oder gesetzt sein`block-bidirectional`. `block-ingress` Wenn der Parameter angegeben `vpcBpaInternetGatewayBlockMode` wird, wird die Steuerung nur erfolgreich ausgeführt, wenn der VPC BPA-Wert für `InternetGatewayBlockMode` mit dem Parameter übereinstimmt.

Wenn Sie die VPC-BPA-Einstellungen für Ihr Konto in einem konfigurieren, AWS-Region können Sie verhindern, dass Ressourcen in VPCs und Subnetzen, die Sie besitzen, in dieser Region über Internet-Gateways und Internet-Gateways nur für ausgehenden Datenverkehr erreichen oder vom Internet aus erreicht werden. Wenn Sie bestimmte VPCs Subnetze benötigen, um auf das Internet zuzugreifen oder über das Internet erreichbar zu sein, können Sie diese ausschließen, indem Sie VPC-BPA-Ausschlüsse konfigurieren. Anweisungen zum Erstellen und Löschen von Ausschlüssen finden Sie unter [Ausnahmen erstellen und löschen](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions) im *Amazon VPC-Benutzerhandbuch*.

### Abhilfe
<a name="ec2-172-remediation"></a>

Informationen zur Aktivierung von bidirektionalem BPA auf Kontoebene finden Sie unter [Bidirektionalen BPA-Modus für Ihr Konto aktivieren](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir) im *Amazon* VPC-Benutzerhandbuch. Informationen zum Aktivieren von BPA nur für eingehenden Datenverkehr finden Sie unter [Ändern des VPC-BPA-Modus](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only) auf Nur eingehenden Datenverkehr. Informationen zur Aktivierung von VPC BPA auf Organisationsebene finden Sie unter [Aktivieren von VPC BPA auf](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs) Organisationsebene.

## [EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
<a name="ec2-173"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::SpotFleet`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob eine Amazon EC2 Spot Fleet-Anfrage, die Startparameter spezifiziert, so konfiguriert ist, dass die Verschlüsselung für alle Amazon Elastic Block Store (Amazon EBS) -Volumes (Amazon EBS) aktiviert wird, die an EC2-Instances angehängt sind. Die Kontrolle schlägt fehl, wenn die Spot-Fleet-Anfrage Startparameter spezifiziert und die Verschlüsselung für ein oder mehrere in der Anfrage angegebene EBS-Volumes nicht aktiviert.

Für eine zusätzliche Sicherheitsebene sollten Sie die Verschlüsselung für Amazon EBS-Volumes aktivieren. Verschlüsselungsvorgänge finden dann auf den Servern statt, die Amazon EC2 EC2-Instances hosten, wodurch die Sicherheit sowohl der ruhenden Daten als auch der Daten während der Übertragung zwischen einer Instance und dem angeschlossenen EBS-Speicher gewährleistet wird. Die Amazon EBS-Verschlüsselung ist eine einfache Verschlüsselungslösung für EBS-Ressourcen, die mit Ihren EC2-Instances verknüpft sind. Mit der EBS-Verschlüsselung müssen Sie keine eigene Schlüsselverwaltungsinfrastruktur aufbauen, verwalten und sichern. Die EBS-Verschlüsselung wird AWS KMS keys bei der Erstellung verschlüsselter Volumes verwendet.

**Hinweise**  
Dieses Steuerelement generiert keine Ergebnisse für Amazon EC2 Spot Fleet-Anfragen, die Startvorlagen verwenden. Es generiert auch keine Ergebnisse für Spot-Flotte-Anfragen, die nicht explizit einen Wert für den `encrypted` Parameter angeben.

### Abhilfe
<a name="ec2-173-remediation"></a>

Es gibt keine direkte Möglichkeit, ein vorhandenes, unverschlüsseltes Amazon EBS-Volume zu verschlüsseln. Sie können ein neues Volume nur verschlüsseln, wenn Sie es erstellen.

Wenn Sie jedoch die Verschlüsselung standardmäßig aktivieren, verschlüsselt Amazon EBS neue Volumes mithilfe Ihres Standardschlüssels für die EBS-Verschlüsselung. Wenn Sie die Verschlüsselung nicht standardmäßig aktivieren, können Sie die Verschlüsselung aktivieren, wenn Sie ein einzelnes Volume erstellen. In beiden Fällen können Sie den Standardschlüssel für die EBS-Verschlüsselung außer Kraft setzen und einen vom Kunden verwalteten AWS KMS key Schlüssel auswählen. Weitere Informationen zur EBS-Verschlüsselung finden Sie unter [Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) im *Amazon EBS-Benutzerhandbuch.*

Informationen zum Erstellen einer Amazon EC2 Spot Fleet-Anfrage finden Sie unter [Create a Spot Fleet](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.

## [EC2.174] EC2-DHCP-Optionssätze sollten markiert werden
<a name="ec2-174"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::DHCPOptions`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob ein Amazon EC2 EC2-DHCP-Optionssatz die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel enthält. Die Steuerung schlägt fehl, wenn der Optionssatz keine Tag-Schlüssel oder nicht alle im Parameter angegebenen Schlüssel hat. `requiredKeyTags` Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Optionssatz keine Tag-Schlüssel enthält. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="ec2-174-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Amazon EC2 DHCP-Optionssatz finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *EC2-Benutzerhandbuch*.

## [EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
<a name="ec2-175"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::LaunchTemplate`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob eine Amazon EC2 EC2-Startvorlage die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel enthält. Die Steuerung schlägt fehl, wenn die Startvorlage keine Tag-Schlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Startvorlage keine Tagschlüssel enthält. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="ec2-175-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Amazon EC2 EC2-Startvorlage finden Sie unter [Taggen Ihrer Amazon EC2-Ressourcen im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *EC2-Benutzerhandbuch*.

## [EC2.176] EC2-Präfixlisten sollten mit Tags versehen werden
<a name="ec2-176"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::PrefixList`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob eine Amazon EC2-Präfixliste die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel enthält. Das Steuerelement schlägt fehl, wenn die Präfixliste keine Tag-Schlüssel oder nicht alle durch den `requiredKeyTags` Parameter angegebenen Schlüssel enthält. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Präfixliste keine Tagschlüssel enthält. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="ec2-176-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Amazon EC2-Präfixliste finden Sie unter [Taggen Ihrer Amazon EC2-Ressourcen im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *EC2-Benutzerhandbuch*.

## [EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden
<a name="ec2-177"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::TrafficMirrorSession`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob eine Amazon EC2-Traffic-Mirror-Sitzung die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel enthält. Die Steuerung schlägt fehl, wenn die Sitzung keine Tag-Schlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Sitzung keine Tagschlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="ec2-177-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Amazon EC2-Traffic-Mirror-Sitzung finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden
<a name="ec2-178"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::TrafficMirrorFilter`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob ein Amazon EC2-Traffic-Mirror-Filter über die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel verfügt. Das Steuerelement schlägt fehl, wenn der Filter keine Tag-Schlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Filter keine Tagschlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="ec2-178-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Amazon EC2-Traffic-Mirror-Filter finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden
<a name="ec2-179"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::TrafficMirrorTarget`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob ein Amazon EC2-Traffic-Mirror-Ziel über die im `requiredKeyTags` Parameter angegebenen Tag-Schlüssel verfügt. Die Steuerung schlägt fehl, wenn das Ziel keine Tag-Schlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Ziel keine Tagschlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="ec2-179-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Amazon EC2-Traffic-Mirror-Ziel finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
<a name="ec2-180"></a>

**Kategorie: Schützen >** Netzwerksicherheit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::NetworkInterface`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die source/destination Prüfung für ein Amazon EC2 elastic network interface (ENI) aktiviert ist, das von Benutzern verwaltet wird. Die Steuerung schlägt fehl, wenn die source/destination Prüfung für das benutzerverwaltete ENI deaktiviert ist. Dieses Steuerelement überprüft nur die folgenden Typen von ENIs:`aws_codestar_connections_managed`,`branch`,`efa`, `interface``lambda`, und`quicksight`.

Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destinationAdressvalidierung, die sicherstellt, dass eine Instance entweder die Quelle oder das Ziel jeglichen Datenverkehrs ist, den sie empfängt. Dies bietet eine zusätzliche Netzwerksicherheitsebene, indem verhindert wird, dass Ressourcen unbeabsichtigten Datenverkehr verarbeiten, und IP-Adress-Spoofing verhindert wird.

**Anmerkung**  
[Wenn Sie eine EC2-Instance als NAT-Instance verwenden und die source/destination Überprüfung auf ihre ENI deaktiviert haben, können Sie stattdessen ein NAT-Gateway verwenden.](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)

### Abhilfe
<a name="ec2-180-remediation"></a>

Informationen zur Aktivierung von source/destination Prüfungen für eine Amazon EC2 EC2-ENI finden Sie unter [Ändern von Netzwerkschnittstellenattributen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
<a name="ec2-181"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::LaunchTemplate`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon EC2 EC2-Startvorlage die Verschlüsselung für alle angehängten EBS-Volumes aktiviert. Die Kontrolle schlägt fehl, wenn der Verschlüsselungsparameter `False` für alle EBS-Volumes, die in der EC2-Startvorlage angegeben sind, auf gesetzt ist.

Die Amazon EBS-Verschlüsselung ist eine einfache Verschlüsselungslösung für EBS-Ressourcen, die Amazon EC2 EC2-Instances zugeordnet sind. Mit der EBS-Verschlüsselung müssen Sie keine eigene Schlüsselverwaltungsinfrastruktur aufbauen, warten und sichern. Die EBS-Verschlüsselung wird AWS KMS keys bei der Erstellung verschlüsselter Volumes und Snapshots verwendet. Verschlüsselungsvorgänge finden auf den Servern statt, die EC2-Instances hosten. Dadurch wird die Sicherheit von Daten im Ruhezustand und bei der Übertragung zwischen einer EC2-Instance und dem angeschlossenen EBS-Speicher gewährleistet. Weitere Informationen finden Sie unter [Amazon-EBS-Verschlüsselung](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) im *Amazon-EBS-Benutzerhandbuch*.

Sie können die EBS-Verschlüsselung beim manuellen Start einzelner EC2-Instances aktivieren. Die Verwendung von EC2-Startvorlagen und die Konfiguration der Verschlüsselungseinstellungen in diesen Vorlagen bieten jedoch mehrere Vorteile. Sie können die Verschlüsselung als Standard erzwingen und die Verwendung einheitlicher Verschlüsselungseinstellungen sicherstellen. Sie können auch das Risiko von Fehlern und Sicherheitslücken verringern, die beim manuellen Starten von Instances auftreten können.

**Anmerkung**  
Wenn dieses Steuerelement eine EC2-Startvorlage überprüft, werden nur EBS-Verschlüsselungseinstellungen ausgewertet, die in der Vorlage explizit angegeben sind. Die Bewertung umfasst keine Verschlüsselungseinstellungen, die von EBS-Verschlüsselungseinstellungen auf Kontoebene, AMI-Blockgerätezuordnungen oder Quell-Snapshot-Verschlüsselungsstatus übernommen wurden.

### Abhilfe
<a name="ec2-181-remediation"></a>

Nachdem Sie eine Amazon EC2 EC2-Startvorlage erstellt haben, können Sie sie nicht mehr ändern. Sie können jedoch eine neue Version einer Startvorlage erstellen und die Verschlüsselungseinstellungen in dieser neuen Version der Vorlage ändern. Sie können die neue Version auch als Standardversion der Startvorlage angeben. Wenn Sie dann eine EC2-Instance von einer Startvorlage aus starten und keine Vorlagenversion angeben, verwendet EC2 beim Starten der Instance die Einstellungen der Standardversion. Weitere Informationen finden Sie unter [Ändern einer Startvorlage](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.182] Amazon EBS-Snapshots sollten nicht öffentlich zugänglich sein
<a name="ec2-182"></a>

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::SnapshotBlockPublicAccess`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Das Steuerelement prüft, ob Block Public Access aktiviert ist, um die gesamte gemeinsame Nutzung von Amazon EBS-Snapshots zu blockieren. Die Steuerung schlägt fehl, wenn Block Public Access nicht aktiviert ist, um das gesamte Teilen für alle Amazon EBS-Snapshots zu blockieren.

Um zu verhindern, dass Ihre Amazon EBS-Snapshots öffentlich geteilt werden, können Sie den öffentlichen Zugriff für Snapshots sperren aktivieren. Sobald die Sperrung des öffentlichen Zugriffs für Snapshots in einer Region aktiviert ist, wird jeder Versuch, Snapshots in dieser Region öffentlich zu teilen, automatisch blockiert. Dies trägt dazu bei, die Sicherheit der Snapshots zu verbessern und die Snapshot-Daten vor unbefugtem oder unbeabsichtigtem Zugriff zu schützen. 

### Abhilfe
<a name="ec2-182-remediation"></a>

Informationen zum Aktivieren des blockierten öffentlichen Zugriffs für Snapshots finden [Sie unter Konfiguration des blockierten öffentlichen Zugriffs für Amazon EBS-Snapshots im *Amazon EBS-Benutzerhandbuch*](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html). Wählen Sie unter **Öffentlichen Zugriff blockieren die Option Gesamten öffentlichen Zugriff** **blockieren** aus.

# Security Hub CSPM-Steuerungen für Auto Scaling
<a name="autoscaling-controls"></a>

Diese Security Hub CSPM-Steuerungen bewerten den Service und die Ressourcen von Amazon EC2 Auto Scaling.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden
<a name="autoscaling-1"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/2.2, NIST.800-53.R5 CP-2 (2) NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

**Kategorie:** Identifizieren > Bestand

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon EC2 Auto Scaling Scaling-Gruppe, die einem Load Balancer zugeordnet ist, Elastic Load Balancing (ELB) -Zustandsprüfungen verwendet. Die Steuerung schlägt fehl, wenn die Auto Scaling Scaling-Gruppe keine ELB-Zustandsprüfungen verwendet.

ELB-Zustandsprüfungen stellen sicher, dass eine Auto Scaling Scaling-Gruppe den Zustand einer Instance anhand zusätzlicher Tests ermitteln kann, die vom Load Balancer bereitgestellt werden. Die Verwendung von Elastic Load Balancing Health Checks trägt auch dazu bei, die Verfügbarkeit von Anwendungen zu unterstützen, die EC2 Auto Scaling Scaling-Gruppen verwenden.

### Abhilfe
<a name="autoscaling-1-remediation"></a>

Informationen zum Hinzufügen von Elastic Load Balancing Balancing-Zustandsprüfungen finden [Sie unter Elastic Load Balancing Balancing-Zustandsprüfungen hinzufügen](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console) im *Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch*.

## [AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken
<a name="autoscaling-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Mindestanzahl von Availability Zones  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Dieses Steuerelement prüft, ob eine Amazon EC2 Auto Scaling Scaling-Gruppe mindestens die angegebene Anzahl von Availability Zones (AZs) umfasst. Die Steuerung schlägt fehl, wenn eine Auto Scaling Scaling-Gruppe nicht mindestens die angegebene Anzahl von umfasst AZs. Sofern Sie keinen benutzerdefinierten Parameterwert für die Mindestanzahl von angeben AZs, verwendet Security Hub CSPM einen Standardwert von 2. AZs

Eine Auto Scaling Scaling-Gruppe, die sich nicht über mehrere erstreckt, AZs kann keine Instances in einer anderen AZ starten, um dies zu kompensieren, wenn die konfigurierte einzelne AZ nicht mehr verfügbar ist. In einigen Anwendungsfällen kann jedoch eine Auto Scaling Scaling-Gruppe mit einer einzigen Availability Zone bevorzugt werden, z. B. bei Batch-Jobs oder wenn die Inter-AZ-Übertragungskosten auf ein Minimum beschränkt werden müssen. In solchen Fällen können Sie diese Steuerung deaktivieren oder ihre Ergebnisse unterdrücken. 

### Abhilfe
<a name="autoscaling-2-remediation"></a>

Informationen zum Hinzufügen AZs zu einer vorhandenen Auto Scaling Scaling-Gruppe finden [Sie unter Availability Zones hinzufügen und entfernen](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html) im *Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch*.

## [AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen
<a name="autoscaling-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, NIST.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.6

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob IMDSv2 es auf allen Instances aktiviert ist, die von Amazon EC2 Auto Scaling Scaling-Gruppen gestartet wurden. Die Steuerung schlägt fehl, wenn die Version des Instance Metadata Service (IMDS) nicht in der Startkonfiguration enthalten ist oder als konfiguriert ist`token optional`, was eine Einstellung ist, die entweder IMDSv1 oder IMDSv2 zulässt.

IMDS stellt Daten über Ihre Instance bereit, die Sie verwenden können, um die laufende Instance zu konfigurieren oder zu verwalten.

Version 2 des IMDS fügt neue Schutzmaßnahmen hinzu, die in nicht verfügbar waren, um Ihre Instances weiter IMDSv1 zu schützen. EC2 

### Abhilfe
<a name="autoscaling-3-remediation"></a>

Eine Auto Scaling Scaling-Gruppe ist jeweils einer Startkonfiguration zugeordnet. Sie können eine Startkonfiguration nicht ändern, nachdem Sie sie erstellt haben. Um die Startkonfiguration für eine Auto Scaling Scaling-Gruppe zu ändern, verwenden Sie eine vorhandene Startkonfiguration als Grundlage für eine neue Startkonfiguration mit IMDSv2 enabled. Weitere Informationen finden [Sie unter Konfigurieren von Instance-Metadatenoptionen für neue Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) im * EC2 Amazon-Benutzerhandbuch*.

## [AutoScaling.4] Die Auto Scaling Scaling-Gruppenstartkonfiguration sollte kein Metadaten-Response-Hop-Limit größer als 1 haben
<a name="autoscaling-4"></a>

**Wichtig**  
Security Hub CSPM hat diese Kontrolle im April 2024 eingestellt. Weitere Informationen finden Sie unter [Änderungsprotokoll für Security Hub CSPM-Steuerelemente](controls-change-log.md).

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement überprüft die Anzahl der Netzwerk-Hops, die ein Metadaten-Token zurücklegen kann. Die Steuerung schlägt fehl, wenn das Limit für Metadaten-Antwort-Hops größer als ist`1`.

Der Instance Metadata Service (IMDS) stellt Metadateninformationen zu einer EC2 Amazon-Instance bereit und ist für die Anwendungskonfiguration nützlich. Die Beschränkung der `PUT` HTTP-Antwort für den Metadaten-Service auf nur die EC2 Instance schützt das IMDS vor unbefugter Nutzung.

Das TTL-Feld (Time To Live) im IP-Paket wird bei jedem Hop um eins reduziert. Diese Reduzierung kann verwendet werden, um sicherzustellen, dass das Paket nicht nach außen EC2 transportiert wird. IMDSv2 schützt EC2 Instanzen, die möglicherweise als offene Router, Layer-3-Firewalls, Tunnel oder NAT-Geräte falsch konfiguriert wurden, wodurch verhindert wird, dass unbefugte Benutzer Metadaten abrufen. VPNs Mit kann die `PUT` Antwort IMDSv2, die das geheime Token enthält, die Instanz nicht verlassen, da das standardmäßige Antwort-Hop-Limit für Metadaten auf festgelegt ist. `1` Wenn dieser Wert jedoch größer als ist`1`, kann das Token die EC2 Instance verlassen. 

### Abhilfe
<a name="autoscaling-4-remediation"></a>

Informationen zum Ändern des Metadaten-Response-Hop-Limits für eine bestehende Startkonfiguration finden Sie unter [Ändern von Instance-Metadaten-Optionen für bestehende Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances) im * EC2 Amazon-Benutzerhandbuch*.

## [Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben
<a name="autoscaling-5"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die zugehörige Startkonfiguration einer Auto Scaling Scaling-Gruppe den Instances der Gruppe eine [öffentliche IP-Adresse](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses) zuweist. Die Steuerung schlägt fehl, wenn die zugehörige Startkonfiguration eine öffentliche IP-Adresse zuweist.

 EC2 Amazon-Instances in einer Auto Scaling Scaling-Gruppenstartkonfiguration sollten keine zugeordnete öffentliche IP-Adresse haben, außer in begrenzten Randfällen. EC2 Amazon-Instances sollten nur hinter einem Load Balancer zugänglich sein, anstatt direkt dem Internet ausgesetzt zu sein.

### Abhilfe
<a name="autoscaling-5-remediation"></a>

Eine Auto Scaling Scaling-Gruppe ist jeweils einer Startkonfiguration zugeordnet. Sie können eine Startkonfiguration nicht ändern, nachdem Sie sie erstellt haben. Um die Startkonfiguration einer Auto-Scaling-Gruppe zu ändern, verwenden Sie eine vorhandene Startkonfiguration als Grundlage für eine neue Startkonfiguration. Aktualisieren Sie dann die Auto-Scaling-Gruppe so, dass die neue Startkonfiguration verwendet wird. step-by-stepAnweisungen finden Sie unter [Ändern der Startkonfiguration für eine Auto Scaling Scaling-Gruppe](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html) im *Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch*. Wählen **Sie bei der Erstellung der neuen **Startkonfiguration unter Zusätzliche Konfiguration** für **Erweiterte Details und IP-Adresstyp** die Option Keinen Instances eine öffentliche IP-Adresse zuweisen** aus.

Nachdem Sie die Startkonfiguration geändert haben, startet Auto Scaling neue Instances mit den neuen Konfigurationsoptionen. Bestehende Instanzen sind nicht betroffen. Um eine bestehende Instance zu aktualisieren, empfehlen wir Ihnen, Ihre Instance zu aktualisieren oder die automatische Skalierung zuzulassen, um ältere Instances auf der Grundlage Ihrer Kündigungsrichtlinien schrittweise durch neuere Instances zu ersetzen. Weitere Informationen zur Aktualisierung von Auto Scaling Scaling-Instances finden Sie unter [Auto Scaling Scaling-Instances aktualisieren](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances) im *Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch*.

## [AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden
<a name="autoscaling-6"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon EC2 Auto Scaling Scaling-Gruppe mehrere Instance-Typen verwendet. Die Steuerung schlägt fehl, wenn für die Auto Scaling Scaling-Gruppe nur ein Instanztyp definiert ist.

Sie können die Verfügbarkeit verbessern, indem Sie Ihre Anwendung auf mehreren Instance-Typen bereitstellen, die in mehreren Availability Zones ausgeführt werden. Security Hub CSPM empfiehlt die Verwendung mehrerer Instanztypen, damit die Auto Scaling Scaling-Gruppe einen anderen Instanztyp starten kann, wenn die Instance-Kapazität in den von Ihnen ausgewählten Availability Zones nicht ausreicht.

### Abhilfe
<a name="autoscaling-6-remediation"></a>

Informationen zum Erstellen einer Auto Scaling Scaling-Gruppe mit mehreren Instance-Typen finden Sie unter [Auto Scaling Scaling-Gruppen mit mehreren Instance-Typen und Kaufoptionen](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html) im *Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch*.

## [AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden
<a name="autoscaling-9"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

**Kategorie**: Identifizieren > Ressourcenkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon EC2 Auto Scaling Scaling-Gruppe anhand einer EC2 Startvorlage erstellt wurde. Diese Kontrolle schlägt fehl, wenn eine Amazon EC2 Auto Scaling Scaling-Gruppe nicht mit einer Startvorlage erstellt wird oder wenn keine Startvorlage in einer Richtlinie für gemischte Instanzen angegeben ist.

Eine EC2 Auto Scaling Scaling-Gruppe kann entweder aus einer EC2 Startvorlage oder einer Startkonfiguration erstellt werden. Die Verwendung einer Startvorlage zur Erstellung einer Auto Scaling Scaling-Gruppe stellt jedoch sicher, dass Sie Zugriff auf die neuesten Funktionen und Verbesserungen haben.

### Abhilfe
<a name="autoscaling-9-remediation"></a>

Informationen zum Erstellen einer Auto Scaling Scaling-Gruppe mit einer EC2 Startvorlage finden [Sie unter Erstellen einer Auto Scaling Scaling-Gruppe mithilfe einer Startvorlage](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) im *Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch*. Informationen zum Ersetzen einer Startkonfiguration durch eine Startvorlage finden Sie unter [Ersetzen einer Startkonfiguration durch eine Startvorlage](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html) im * EC2 Amazon-Benutzerhandbuch*.

## [AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden
<a name="autoscaling-10"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config Regel:** `tagged-autoscaling-autoscalinggroup` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2 Auto Scaling Scaling-Gruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredTagKeys`. Die Steuerung schlägt fehl, wenn die Auto Scaling Scaling-Gruppe keine Tagschlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Auto Scaling Scaling-Gruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="autoscaling-10-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Auto Scaling Scaling-Gruppe finden Sie unter [Tag Auto Scaling Scaling-Gruppen und -Instances](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html) im *Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch*.

# Security Hub CSPM-Steuerelemente für Amazon ECR
<a name="ecr-controls"></a>

Diese Security Hub CSPM-Kontrollen bewerten den Service und die Ressourcen des Amazon Elastic Container Registry (Amazon ECR).

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein
<a name="ecr-1"></a>

**Verwandte Anforderungen: NIST.800-53.r5 RA-5, PCI DSS v4.0.1/6.2.3**, PCI DSS v4.0.1/6.2.4

**Kategorie**: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::ECR::Repository`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob für ein privates Amazon ECR-Repository das Scannen von Bildern konfiguriert ist. Die Steuerung schlägt fehl, wenn das private ECR-Repository nicht für Scan on Push oder kontinuierliches Scannen konfiguriert ist.

Das Scannen von ECR-Bildern hilft bei der Identifizierung von Softwareschwachstellen in Ihren Container-Images. Die Konfiguration von Bildscans in ECR-Repositorys bietet eine zusätzliche Überprüfungsebene für die Integrität und Sicherheit der gespeicherten Bilder.

### Abhilfe
<a name="ecr-1-remediation"></a>

Informationen zum Konfigurieren von Bildscans für ein ECR-Repository finden Sie unter [Scannen von Bildern](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html) im *Amazon Elastic Container Registry User Guide*.

## [ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
<a name="ecr-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-8 (1)

**Kategorie**: Identifizieren > Inventar > Etikettieren

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ECR::Repository`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob in einem privaten ECR-Repository die Tag-Unveränderlichkeit aktiviert ist. Diese Kontrolle schlägt fehl, wenn in einem privaten ECR-Repository die Tag-Unveränderlichkeit deaktiviert ist. Diese Regel gilt, wenn die Tag-Unveränderlichkeit aktiviert ist und den Wert hat. `IMMUTABLE`

Amazon ECR Tag Immutability ermöglicht es Kunden, sich auf die beschreibenden Tags eines Bildes als zuverlässigen Mechanismus zur Nachverfolgung und eindeutigen Identifizierung von Bildern zu verlassen. Ein unveränderliches Tag ist statisch, was bedeutet, dass sich jedes Tag auf ein eindeutiges Bild bezieht. Dies verbessert die Zuverlässigkeit und Skalierbarkeit, da die Verwendung eines statischen Tags immer dazu führt, dass dasselbe Image bereitgestellt wird. Wenn sie konfiguriert ist, verhindert die Unveränderlichkeit von Tags, dass die Tags überschrieben werden, wodurch die Angriffsfläche reduziert wird.

### Abhilfe
<a name="ecr-2-remediation"></a>

Informationen zum Erstellen eines Repositorys mit konfigurierten unveränderlichen Tags oder zum Aktualisieren der Image-Tag-Mutabilitätseinstellungen für ein vorhandenes Repository finden Sie unter [Image-Tag-Mutability](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html) im *Amazon Elastic Container Registry User* Guide.

## [ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein
<a name="ecr-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

**Kategorie**: Identifizieren > Ressourcenkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ECR::Repository`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob für ein Amazon ECR-Repository mindestens eine Lebenszyklusrichtlinie konfiguriert ist. Diese Kontrolle schlägt fehl, wenn für ein ECR-Repository keine Lebenszyklusrichtlinien konfiguriert sind.

Mit Amazon ECR-Lebenszyklusrichtlinien können Sie das Lebenszyklusmanagement von Images in einem Repository festlegen. Durch die Konfiguration von Lebenszyklusrichtlinien können Sie die Bereinigung ungenutzter Images und das Verfallsdatum von Images je nach Alter oder Anzahl automatisieren. Durch die Automatisierung dieser Aufgaben können Sie verhindern, dass versehentlich veraltete Bilder in Ihrem Repository verwendet werden.

### Abhilfe
<a name="ecr-3-remediation"></a>

Informationen zur Konfiguration einer Lifecycle-Richtlinie finden Sie unter [Creating a Lifecycle Policy Preview](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html) im *Amazon Elastic Container Registry User Guide*.

## [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden
<a name="ecr-4"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::ECR::PublicRepository`

**AWS Config Regel:** `tagged-ecr-publicrepository` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein öffentliches Amazon ECR-Repository Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Kontrolle schlägt fehl, wenn das öffentliche Repository keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das öffentliche Repository mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ecr-4-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem öffentlichen ECR-Repository finden Sie unter [Tagging an ein öffentliches Amazon ECR-Repository](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html) im *Amazon Elastic Container Registry-Benutzerhandbuch*.

## [ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys
<a name="ecr-5"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), (1), NIST.800-53.r5 SC-7 NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 CA-9 (6), NIST.800-53.R5 AU-9

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ECR::Repository`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Eine Liste von Amazon-Ressourcennamen (ARNs) AWS KMS keys , die in die Bewertung aufgenommen werden sollen. Das Steuerelement generiert einen `FAILED` Befund, wenn ein ECR-Repository nicht mit einem KMS-Schlüssel in der Liste verschlüsselt ist.  |  StringList (maximal 10 Elemente)  |  1—10 ARNs der vorhandenen KMS-Schlüssel. Beispiel: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`  |  Kein Standardwert  | 

Diese Kontrolle prüft, ob ein Amazon ECR-Repository im Ruhezustand verschlüsselt ist und von einem Kunden verwaltet AWS KMS key wird. Die Kontrolle schlägt fehl, wenn das ECR-Repository nicht mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt ist. Sie können optional eine Liste von KMS-Schlüsseln angeben, die das Steuerelement in die Bewertung einbeziehen soll.

Standardmäßig verschlüsselt Amazon ECR Repository-Daten mit Amazon S3 S3-verwalteten Schlüsseln (SSE-S3) unter Verwendung eines AES-256-Algorithmus. Für zusätzliche Kontrolle können Sie Amazon ECR so konfigurieren, dass die Daten stattdessen mit einem AWS KMS key (SSE-KMS oder DSSE-KMS) verschlüsselt werden. Der KMS-Schlüssel kann sein: ein Von AWS verwalteter Schlüssel , den Amazon ECR für Sie erstellt und verwaltet und der den Alias hat`aws/ecr`, oder ein vom Kunden verwalteter Schlüssel, den Sie in Ihrem AWS-Konto erstellen und verwalten. Mit einem vom Kunden verwalteten KMS-Schlüssel haben Sie die volle Kontrolle über den Schlüssel. Dazu gehören die Definition und Pflege der Schlüsselrichtlinie, die Verwaltung von Zuschüssen, die Rotation von kryptografischem Material, die Zuweisung von Tags, die Erstellung von Aliasnamen sowie die Aktivierung und Deaktivierung des Schlüssels.

**Anmerkung**  
AWS KMS unterstützt den kontoübergreifenden Zugriff auf KMS-Schlüssel. Wenn ein ECR-Repository mit einem KMS-Schlüssel verschlüsselt ist, der einem anderen Konto gehört, führt dieses Steuerelement bei der Auswertung des Repositorys keine kontoübergreifenden Prüfungen durch. Die Kontrolle bewertet nicht, ob Amazon ECR auf den Schlüssel zugreifen und ihn verwenden kann, wenn kryptografische Operationen für das Repository ausgeführt werden.

### Abhilfe
<a name="ecr-5-remediation"></a>

Sie können die Verschlüsselungseinstellungen für ein vorhandenes ECR-Repository nicht ändern. Sie können jedoch andere Verschlüsselungseinstellungen für ECR-Repositorys angeben, die Sie anschließend erstellen. Amazon ECR unterstützt die Verwendung verschiedener Verschlüsselungseinstellungen für einzelne Repositorys.

Weitere Informationen zu Verschlüsselungsoptionen für ECR-Repositorys finden Sie unter [Encryption at rest](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) im *Amazon ECR-Benutzerhandbuch.* *Weitere Informationen zu „Customer Managed AWS KMS keys“ finden Sie [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)im Developer Guide.AWS Key Management Service *

# Security Hub CSPM-Steuerelemente für Amazon ECS
<a name="ecs-controls"></a>

Diese Security Hub CSPM-Kontrollen bewerten den Service und die Ressourcen des Amazon Elastic Container Service (Amazon ECS). Die Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten
<a name="ecs-1"></a>

**Wichtig**  
Security Hub CSPM hat diese Kontrolle im März 2026 eingestellt. Weitere Informationen finden Sie unter [Änderungsprotokoll für Security Hub CSPM-Steuerelemente](controls-change-log.md). Anhand der folgenden Steuerelemente können Sie die privilegierte Konfiguration, die Konfiguration des Netzwerkmodus und die Benutzerkonfiguration evaluieren:   
 [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](#ecs-4) 
 [[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden](#ecs-17) 
 [[ECS.20] ECS-Aufgabendefinitionen sollten Benutzer, die keine Root-Benutzer sind, in Linux-Container-Definitionen konfigurieren](#ecs-20) 
 [[ECS.21] ECS-Aufgabendefinitionen sollten Benutzer ohne Administratorrechte in Windows-Containerdefinitionen konfigurieren](#ecs-21) 

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::ECS::TaskDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `SkipInactiveTaskDefinitions`: `true` (nicht anpassbar)

Dieses Steuerelement prüft, ob eine aktive Amazon ECS-Aufgabendefinition mit Host-Netzwerkmodus `user` Container-Definitionen hat`privileged`. Die Steuerung schlägt bei Aufgabendefinitionen fehl, die Host-Netzwerkmodus- und Container-Definitionen von`privileged=false`, leer und `user=root` oder leer haben.

Dieses Steuerelement bewertet nur die letzte aktive Revision einer Amazon ECS-Aufgabendefinition.

Mit dieser Steuerung soll sichergestellt werden, dass der Zugriff bewusst definiert wird, wenn Sie Aufgaben ausführen, die den Host-Netzwerkmodus verwenden. Wenn eine Aufgabendefinition über erhöhte Rechte verfügt, liegt das daran, dass Sie diese Konfiguration gewählt haben. Dieses Steuerelement sucht nach unerwarteter Rechteerweiterung, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist und Sie keine erhöhten Rechte wählen.

### Abhilfe
<a name="ecs-1-remediation"></a>

Informationen zum Aktualisieren einer Aufgabendefinition finden Sie unter [Aktualisieren einer Aufgabendefinition](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) im *Amazon Elastic Container Service Developer Guide*.

Wenn Sie eine Aufgabendefinition aktualisieren, werden laufende Aufgaben, die mit der vorherigen Aufgabendefinition gestartet wurden, nicht aktualisiert. Um eine laufende Aufgabe zu aktualisieren, müssen Sie die Aufgabe mit der neuen Aufgabendefinition erneut bereitstellen.

## [ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden
<a name="ecs-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::ECS::Service`

**AWS Config Regel:** `ecs-service-assign-public-ip-disabled` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Amazon ECS-Services so konfiguriert sind, dass sie automatisch öffentliche IP-Adressen zuweisen. Diese Steuerung schlägt fehl, wenn dies `AssignPublicIP` der Fall ist`ENABLED`. Diese Kontrolle `AssignPublicIP` ist erfolgreich, falls ja`DISABLED`.

Eine öffentliche IP-Adresse ist eine IP-Adresse, die über das Internet erreichbar ist. Wenn Sie Ihre Amazon ECS-Instances mit einer öffentlichen IP-Adresse starten, sind Ihre Amazon ECS-Instances über das Internet erreichbar. Amazon ECS-Services sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Container-Anwendungsserver ermöglichen kann.

### Abhilfe
<a name="ecs-2-remediation"></a>

Zunächst müssen Sie eine Aufgabendefinition für Ihren Cluster erstellen, die den `awsvpc` Netzwerkmodus verwendet und **FARGATE** für spezifiziert. `requiresCompatibilities` Wählen Sie dann für **Compute-Konfiguration** die Optionen **Starttyp** und **FARGATE** aus. Schalten Sie abschließend für das Feld **Netzwerk** die Option **Öffentliche IP** aus, um die automatische Zuweisung öffentlicher IP-Adressen für Ihren Dienst zu deaktivieren.

## [ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
<a name="ecs-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

**Kategorie**: Identifizieren > Ressourcenkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::ECS::TaskDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Amazon ECS-Aufgabendefinitionen so konfiguriert sind, dass sie den Prozess-Namespace eines Hosts gemeinsam mit seinen Containern verwenden. Die Steuerung schlägt fehl, wenn die Aufgabendefinition den Prozess-Namespace des Hosts gemeinsam mit den Containern verwendet, die darauf ausgeführt werden. Dieses Steuerelement bewertet nur die letzte aktive Revision einer Amazon ECS-Aufgabendefinition.

Ein Prozess-ID-Namespace (PID) sorgt für die Trennung zwischen Prozessen. Er verhindert, dass Systemprozesse sichtbar sind, und PIDs ermöglicht deren Wiederverwendung, einschließlich PID 1. Wenn der PID-Namespace des Hosts gemeinsam mit Containern genutzt wird, könnten Container alle Prozesse auf dem Hostsystem sehen. Dadurch wird der Vorteil der Isolierung auf Prozessebene zwischen dem Host und den Containern verringert. Diese Umstände könnten zu unberechtigtem Zugriff auf Prozesse auf dem Host selbst führen, einschließlich der Möglichkeit, diese zu manipulieren und zu beenden. Kunden sollten den Prozess-Namespace des Hosts nicht mit Containern teilen, die darauf laufen.

### Abhilfe
<a name="ecs-3-remediation"></a>

Informationen zur Konfiguration der `pidMode` Aufgabendefinition finden Sie unter [Aufgabendefinitionsparameter](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) im Amazon Elastic Container Service Developer Guide.

## [ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden
<a name="ecs-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Zugriffsbeschränkungen für Root-Benutzer

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::ECS::TaskDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob der `privileged` Parameter in der Container-Definition von Amazon ECS-Aufgabendefinitionen auf gesetzt ist`true`. Die Steuerung schlägt fehl, wenn dieser Parameter gleich ist`true`. Dieses Steuerelement bewertet nur die letzte aktive Revision einer Amazon ECS-Aufgabendefinition.

Wir empfehlen, dass Sie erhöhte Rechte aus Ihren ECS-Aufgabendefinitionen entfernen. Wenn der Berechtigungsparameter lautet`true`, erhält der Container erhöhte Rechte auf der Host-Container-Instance (ähnlich wie dem Root-Benutzer).

### Abhilfe
<a name="ecs-4-remediation"></a>

Informationen zur Konfiguration des `privileged` Parameters für eine Aufgabendefinition finden Sie unter [Erweiterte Container-Definitionsparameter](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) im Amazon Elastic Container Service Developer Guide.

## [ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind
<a name="ecs-5"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::ECS::TaskDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob in den ECS-Aufgabendefinitionen Container so konfiguriert sind, dass sie nur Lesezugriff auf gemountete Root-Dateisysteme haben. Die Steuerung schlägt fehl, wenn der `readonlyRootFilesystem` Parameter in den Containerdefinitionen der ECS-Aufgabendefinition auf `false` gesetzt ist oder der Parameter in der Containerdefinition innerhalb der Aufgabendefinition nicht vorhanden ist. Dieses Steuerelement bewertet nur die letzte aktive Revision einer Amazon ECS-Aufgabendefinition.

Wenn der `readonlyRootFilesystem` Parameter `true` in einer Amazon ECS-Aufgabendefinition auf gesetzt ist, erhält der ECS-Container schreibgeschützten Zugriff auf sein Root-Dateisystem. Dadurch werden Sicherheitsangriffsvektoren reduziert, da das Root-Dateisystem der Container-Instance ohne explizite Volume-Mounts, die über Lese- und Schreibberechtigungen für Dateisystemordner und -verzeichnisse verfügen, nicht manipuliert oder darauf geschrieben werden kann. Die Aktivierung dieser Option entspricht auch dem Prinzip der geringsten Rechte.

**Anmerkung**  
Der `readonlyRootFilesystem` Parameter wird für Windows-Container nicht unterstützt. Aufgabendefinitionen, die `runtimePlatform` so konfiguriert sind, dass sie eine `WINDOWS_SERVER` Betriebssystemfamilie angeben, sind als solche gekennzeichnet `NOT_APPLICABLE` und generieren keine Ergebnisse für dieses Steuerelement. 

### Abhilfe
<a name="ecs-5-remediation"></a>

Um einem Amazon ECS-Container schreibgeschützten Zugriff auf sein Root-Dateisystem zu gewähren, fügen Sie den `readonlyRootFilesystem` Parameter zur Aufgabendefinition für den Container hinzu und setzen Sie den Wert für den Parameter auf. `true` Informationen zu Aufgabendefinitionsparametern und deren Hinzufügen zu einer Aufgabendefinition finden Sie unter [Amazon ECS-Aufgabendefinitionen](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) und [Aktualisieren einer Aufgabendefinition](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.

## [ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
<a name="ecs-8"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/8.6.2

**Kategorie**: Schützen > Sichere Entwicklung > Anmeldeinformationen sind nicht fest codiert

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::ECS::TaskDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**`secretKeys`:`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, `ECS_ENGINE_AUTH_DATA` (nicht anpassbar) 

Dieses Steuerelement prüft, ob der Schlüsselwert einer Variablen im `environment` Parameter von Containerdefinitionen`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, oder enthält`ECS_ENGINE_AUTH_DATA`. Dieses Steuerelement schlägt fehl, wenn eine einzelne Umgebungsvariable in einer Containerdefinition gleich `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, oder `ECS_ENGINE_AUTH_DATA` ist. Diese Kontrolle deckt keine Umgebungsvariablen ab, die von anderen Standorten wie Amazon S3 weitergegeben werden. Dieses Steuerelement bewertet nur die letzte aktive Revision einer Amazon ECS-Aufgabendefinition.

AWS Systems Manager Parameter Store kann Ihnen helfen, die Sicherheitslage Ihres Unternehmens zu verbessern. Wir empfehlen, den Parameter Store zum Speichern von Geheimnissen und Anmeldeinformationen zu verwenden, anstatt sie direkt an Ihre Container-Instances zu übergeben oder sie fest in Ihren Code zu codieren.

### Abhilfe
<a name="ecs-8-remediation"></a>

Informationen zum Erstellen von Parametern mit SSM finden Sie unter [Erstellen von Systems Manager Manager-Parametern](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) im *AWS Systems Manager Benutzerhandbuch*. Weitere Informationen zum Erstellen einer Aufgabendefinition, die ein Geheimnis spezifiziert, finden Sie unter [Spezifying sensitive data using Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) im *Amazon Elastic Container Service Developer Guide*.

## [ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
<a name="ecs-9"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::ECS::TaskDefinition`

**AWS Config Regel: ecs-task-definition-log** [-Konfiguration](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)

**Art des Zeitplans: Änderung wurde** ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für die letzte aktive Amazon ECS-Aufgabendefinition eine Protokollierungskonfiguration angegeben wurde. Die Steuerung schlägt fehl, wenn für die Aufgabendefinition die `logConfiguration` Eigenschaft nicht definiert `logDriver` ist oder wenn der Wert für in mindestens einer Containerdefinition Null ist.

Die Protokollierung hilft Ihnen dabei, die Zuverlässigkeit, Verfügbarkeit und Leistung von Amazon ECS aufrechtzuerhalten. Das Sammeln von Daten aus Aufgabendefinitionen bietet Transparenz, was Ihnen helfen kann, Prozesse zu debuggen und die Ursache von Fehlern zu finden. Wenn Sie eine Protokollierungslösung verwenden, die nicht in der ECS-Aufgabendefinition definiert werden muss (z. B. eine Protokollierungslösung eines Drittanbieters), können Sie diese Steuerung deaktivieren, nachdem Sie sichergestellt haben, dass Ihre Protokolle ordnungsgemäß erfasst und übermittelt wurden.

### Abhilfe
<a name="ecs-9-remediation"></a>

Informationen zum Definieren einer Protokollkonfiguration für Ihre Amazon ECS-Aufgabendefinitionen finden Sie [unter Angeben einer Protokollkonfiguration in Ihrer Aufgabendefinition](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) im *Amazon Elastic Container Service Developer Guide*.

## [ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
<a name="ecs-10"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategorie**: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ECS::Service`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `latestLinuxVersion: 1.4.0`(nicht anpassbar)
+ `latestWindowsVersion: 1.0.0`(nicht anpassbar)

Dieses Steuerelement prüft, ob die Amazon ECS Fargate-Dienste die neueste Version der Fargate-Plattform ausführen. Diese Steuerung schlägt fehl, wenn die Plattformversion nicht die neueste ist.

AWS Fargate Plattformversionen beziehen sich auf eine spezifische Laufzeitumgebung für die Fargate-Task-Infrastruktur, bei der es sich um eine Kombination aus Kernel- und Container-Laufzeitversionen handelt. Neue Plattformversionen werden veröffentlicht, wenn sich die Laufzeitumgebung weiterentwickelt. Beispielsweise kann eine neue Version für Kernel- oder Betriebssystemupdates, neue Funktionen, Bugfixes oder Sicherheitsupdates veröffentlicht werden. Sicherheits-Updates und -Patches für Ihre -Fargate-Aufgaben werden automatisch bereitgestellt. Wenn ein Sicherheitsproblem gefunden wird, das sich auf eine Plattformversion auswirkt, wird die AWS Plattformversion gepatcht. 

### Abhilfe
<a name="ecs-10-remediation"></a>

Informationen zum Aktualisieren eines vorhandenen Service, einschließlich seiner Plattformversion, finden Sie unter [Aktualisieren eines Service](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) im *Amazon Elastic Container Service Developer Guide*.

## [ECS.12] ECS-Cluster sollten Container Insights verwenden
<a name="ecs-12"></a>

**Verwandte Anforderungen:**, NIST.800-53.R5 NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 SI-2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ECS::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ECS-Cluster Container Insights verwenden. Diese Steuerung schlägt fehl, wenn Container Insights nicht für einen Cluster eingerichtet ist.

Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von Amazon ECS-Clustern. Verwenden Sie CloudWatch Container Insights, um Metriken und Protokolle aus Ihren containerisierten Anwendungen und Microservices zu sammeln, zu aggregieren und zusammenzufassen. CloudWatch sammelt automatisch Metriken für viele Ressourcen wie CPU, Arbeitsspeicher, Festplatte und Netzwerk. Container Insights bietet auch Diagnoseinformationen, wie z. B.Fehler beim Container-Neustart, damit Sie Probleme schnell aufdecken und beheben können. Sie können auch CloudWatch Alarme für Metriken einrichten, die Container Insights sammelt.

### Abhilfe
<a name="ecs-12-remediation"></a>

Informationen zur Verwendung von Container Insights finden Sie unter [Service aktualisieren](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) im * CloudWatch Amazon-Benutzerhandbuch*.

## [ECS.13] ECS-Services sollten markiert werden
<a name="ecs-13"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::ECS::Service`

**AWS Config Regel:** `tagged-ecs-service` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon ECS-Service Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredTagKeys`. Die Steuerung schlägt fehl, wenn der Service keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Dienst mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ecs-13-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem ECS-Service finden Sie unter [Tagging your Amazon ECS-Ressourcen](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) im *Amazon Elastic Container Service Developer Guide*.

## [ECS.14] ECS-Cluster sollten markiert werden
<a name="ecs-14"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::ECS::Cluster`

**AWS Config Regel:** `tagged-ecs-cluster` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon ECS-Cluster Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredTagKeys`. Die Steuerung schlägt fehl, wenn der Cluster keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Cluster mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ecs-14-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem ECS-Cluster finden Sie unter [Tagging your Amazon ECS-Ressourcen](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) im *Amazon Elastic Container Service Developer Guide*.

## [ECS.15] ECS-Aufgabendefinitionen sollten mit Tags versehen werden
<a name="ecs-15"></a>

**Kategorie:** Identifizieren > Inventar > Kennzeichnung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::ECS::TaskDefinition`

**AWS Config Regel:** `tagged-ecs-taskdefinition` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon ECS-Aufgabendefinition Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredTagKeys`. Das Steuerelement schlägt fehl, wenn die Aufgabendefinition keine Tagschlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Aufgabendefinition mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ecs-15-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer ECS-Aufgabendefinition finden Sie unter [Tagging your Amazon ECS-Ressourcen](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) im *Amazon Elastic Container Service Developer Guide*.

## [ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen
<a name="ecs-16"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/1.4.4

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::ECS::TaskSet`

**AWS Config Regel:** `ecs-taskset-assign-public-ip-disabled` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon ECS-Task-Set so konfiguriert ist, dass öffentliche IP-Adressen automatisch zugewiesen werden. Die Steuerung schlägt fehl, wenn sie auf gesetzt `AssignPublicIP` ist`ENABLED`.

Eine öffentliche IP-Adresse ist über das Internet erreichbar. Wenn Sie Ihr Task-Set mit einer öffentlichen IP-Adresse konfigurieren, können die mit dem Task-Set verknüpften Ressourcen über das Internet erreicht werden. ECS-Aufgabensätze sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Container-Anwendungsserver ermöglichen kann.

### Abhilfe
<a name="ecs-16-remediation"></a>

Informationen zum Aktualisieren eines ECS-Aufgabensatzes, sodass er keine öffentliche IP-Adresse verwendet, finden Sie unter [Aktualisieren einer Amazon ECS-Aufgabendefinition mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.

## [ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden
<a name="ecs-17"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ECS::TaskDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die letzte aktive Revision einer Amazon ECS-Aufgabendefinition den `host` Netzwerkmodus verwendet. Die Steuerung schlägt fehl, wenn die letzte aktive Revision der ECS-Aufgabendefinition den `host` Netzwerkmodus verwendet.

Bei Verwendung des `host` Netzwerkmodus ist das Netzwerk eines Amazon ECS-Containers direkt an den zugrunde liegenden Host gebunden, auf dem der Container ausgeführt wird. Folglich ermöglicht dieser Modus Containern, sich mit privaten Loopback-Netzwerkdiensten auf dem Host zu verbinden und sich als der Host auszugeben. Weitere wichtige Nachteile bestehen darin, dass es im `host` Netzwerkmodus keine Möglichkeit gibt, einen Container-Port neu zuzuordnen, und dass Sie nicht mehr als eine einzige Instanziierung einer Aufgabe auf jedem Host ausführen können.

### Abhilfe
<a name="ecs-17-remediation"></a>

Informationen zu Netzwerkmodi und Optionen für Amazon ECS-Aufgaben, die auf Amazon EC2 EC2-Instances gehostet werden, finden Sie unter [Netzwerkoptionen für Amazon ECS-Aufgaben für den EC2-Starttyp](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) im *Amazon Elastic Container Service Developer Guide*. Informationen zum Erstellen einer neuen Version einer Aufgabendefinition und zum Angeben eines anderen Netzwerkmodus finden Sie in diesem Handbuch unter [Aktualisieren einer Amazon ECS-Aufgabendefinition](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html).

Wenn die Amazon ECS-Aufgabendefinition von erstellt wurde AWS Batch, finden Sie unter [Netzwerkmodi für AWS Batch Jobs](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) Informationen zu Netzwerkmodi und zur typischen Verwendung von AWS Batch Auftragstypen sowie zur Auswahl einer sicheren Option.

## [ECS.18] ECS-Aufgabendefinitionen sollten die Verschlüsselung während der Übertragung für EFS-Volumes verwenden
<a name="ecs-18"></a>

**Kategorie: Schützen >** Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ECS::TaskDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die letzte aktive Version einer Amazon ECS-Aufgabendefinition die Verschlüsselung während der Übertragung für EFS-Volumes verwendet. Die Steuerung schlägt fehl, wenn in der letzten aktiven Version der ECS-Aufgabendefinition die Verschlüsselung während der Übertragung für EFS-Volumes deaktiviert ist.

Amazon EFS-Volumes bieten einfachen, skalierbaren und dauerhaften gemeinsamen Dateispeicher für Ihre Amazon ECS-Aufgaben. Amazon EFS unterstützt die Verschlüsselung von Daten während der Übertragung mit Transport Layer Security (TLS). Wenn die Verschlüsselung von Daten während der Übertragung als Mount-Option für Ihr EFS-Dateisystem deklariert ist, stellt Amazon EFS beim Mounten Ihres Dateisystems eine sichere TLS-Verbindung mit Ihrem EFS-Dateisystem her.

### Abhilfe
<a name="ecs-18-remediation"></a>

Informationen zur Aktivierung der Verschlüsselung während der Übertragung für Amazon ECS-Aufgabendefinitionen mit EFS-Volumes finden Sie unter [Schritt 5: Erstellen einer Aufgabendefinition](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) im *Amazon Elastic Container Service Developer Guide*.

## [ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben
<a name="ecs-19"></a>

**Kategorie:** Schützen > Datenschutz

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ECS::CapacityProvider`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob ein Amazon ECS-Kapazitätsanbieter den Managed Termination Protection aktiviert hat. Die Kontrolle schlägt fehl, wenn der verwaltete Kündigungsschutz bei einem ECS-Kapazitätsanbieter nicht aktiviert ist.

Amazon-ECS-Kapazitätsanbieter verwalten die Skalierung der Infrastruktur für Aufgaben in Ihren Clustern. Wenn Sie EC2-Instances für Ihre Kapazität verwenden, verwenden Sie die Auto-Scaling-Gruppe, um die EC2-Instances zu verwalten. Mit dem verwalteten Beendigungsschutz kann das Cluster-Auto-Scaling steuern, welche Instances beendet werden. Wenn Sie den verwalteten Beendigungsschutz verwenden, beendet Amazon ECS nur EC2-Instances, auf denen keine Amazon-ECS-Aufgaben ausgeführt werden.

**Anmerkung**  
Bei Verwendung des verwalteten Beendigungsschutzes muss auch die verwaltete Skalierung verwendet werden, da andernfalls der verwaltete Beendigungsschutz nicht funktioniert.

### Abhilfe
<a name="ecs-19-remediation"></a>

Informationen zum Aktivieren des Managed Termination Protection für einen Amazon ECS-Kapazitätsanbieter finden Sie unter [Aktualisierung des Managed Termination Protection for Amazon ECS Capacity Providers](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) im *Amazon Elastic Container Service Developer Guide*.

## [ECS.20] ECS-Aufgabendefinitionen sollten Benutzer, die keine Root-Benutzer sind, in Linux-Container-Definitionen konfigurieren
<a name="ecs-20"></a>

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Zugriffsbeschränkungen für Root-Benutzer

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ECS::TaskDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die letzte aktive Revision einer Amazon ECS-Aufgabendefinition Linux-Container so konfiguriert, dass sie als Nicht-Root-Benutzer ausgeführt werden. Die Steuerung schlägt fehl, wenn ein standardmäßiger Root-Benutzer konfiguriert ist oder eine Benutzerkonfiguration für einen Container fehlt.

Wenn Linux-Container mit Root-Rechten ausgeführt werden, stellen sie mehrere erhebliche Sicherheitsrisiken dar. Root-Benutzer haben uneingeschränkten Zugriff auf den Container. Dieser erhöhte Zugriff erhöht das Risiko von Container-Escape-Angriffen, bei denen ein Angreifer möglicherweise aus der Container-Isolation ausbrechen und auf das zugrunde liegende Hostsystem zugreifen könnte. Wenn ein Container, der als Root läuft, kompromittiert ist, können Angreifer dies ausnutzen, um auf Ressourcen des Hostsystems zuzugreifen oder diese zu verändern, was sich auf andere Container oder den Host selbst auswirkt. Darüber hinaus könnte der Root-Zugriff Angriffe zur Eskalation von Rechten ermöglichen, sodass Angreifer zusätzliche Berechtigungen erlangen können, die über den vorgesehenen Umfang des Containers hinausgehen. Der Benutzerparameter in ECS-Aufgabendefinitionen kann Benutzer in verschiedenen Formaten angeben, darunter Benutzername, Benutzer-ID, Benutzername mit Gruppe oder UID mit Gruppen-ID. Es ist wichtig, sich bei der Konfiguration von Aufgabendefinitionen dieser verschiedenen Formate bewusst zu sein, um sicherzustellen, dass kein Root-Zugriff versehentlich gewährt wird. Gemäß dem Prinzip der geringsten Rechte sollten Container mit den erforderlichen Mindestberechtigungen ausgeführt werden und Benutzer verwenden, die keine Root-Benutzer sind. Dieser Ansatz reduziert die potenzielle Angriffsfläche erheblich und mindert die Auswirkungen potenzieller Sicherheitsverletzungen. 

**Anmerkung**  
Dieses Steuerelement wertet die Containerdefinitionen in einer Aufgabendefinition nur dann aus, wenn die in der Aufgabendefinition als konfiguriert `operatingSystemFamily` `operatingSystemFamily` ist `LINUX` oder nicht. Das Steuerelement generiert ein `FAILED` Ergebnis für eine ausgewertete Aufgabendefinition, wenn eine Containerdefinition in der Aufgabendefinition `user` nicht als Standard-Root-Benutzer `user` konfiguriert oder konfiguriert wurde. Die Standard-Root-Benutzer für `LINUX` Container sind `"root"` und`"0"`.

### Abhilfe
<a name="ecs-20-remediation"></a>

Informationen zum Erstellen einer neuen Version einer Amazon ECS-Aufgabendefinition und zum Aktualisieren des `user` Parameters in der Container-Definition finden Sie unter [Aktualisieren einer Amazon ECS-Aufgabendefinition](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.

## [ECS.21] ECS-Aufgabendefinitionen sollten Benutzer ohne Administratorrechte in Windows-Containerdefinitionen konfigurieren
<a name="ecs-21"></a>

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Zugriffsbeschränkungen für Root-Benutzer

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ECS::TaskDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die letzte aktive Revision einer Amazon ECS-Aufgabendefinition Windows-Container so konfiguriert, dass sie als Benutzer ausgeführt werden, die keine Standardadministratoren sind. Die Steuerung schlägt fehl, wenn ein Standardadministrator als Benutzer konfiguriert ist oder wenn keine Benutzerkonfiguration für einen Container vorhanden ist.

Wenn Windows-Container mit Administratorrechten ausgeführt werden, stellen sie mehrere erhebliche Sicherheitsrisiken dar. Administratoren haben uneingeschränkten Zugriff auf den Container. Dieser erhöhte Zugriff erhöht das Risiko von Container-Escape-Angriffen, bei denen ein Angreifer möglicherweise aus der Container-Isolation ausbrechen und auf das zugrunde liegende Hostsystem zugreifen könnte.

**Anmerkung**  
Dieses Steuerelement wertet die Containerdefinitionen in einer Aufgabendefinition nur dann aus, wenn das in der Aufgabendefinition als konfiguriert `operatingSystemFamily` `operatingSystemFamily` ist `WINDOWS_SERVER` oder nicht. Das Steuerelement generiert ein `FAILED` Ergebnis für eine ausgewertete Aufgabendefinition, wenn eine Containerdefinition in der Aufgabendefinition `user` nicht als Standardadministrator für `WINDOWS_SERVER` Container `user` konfiguriert oder konfiguriert wurde, was ist`"containeradministrator"`.

### Abhilfe
<a name="ecs-21-remediation"></a>

Informationen zum Erstellen einer neuen Version einer Amazon ECS-Aufgabendefinition und zum Aktualisieren des `user` Parameters in der Container-Definition finden Sie unter [Aktualisieren einer Amazon ECS-Aufgabendefinition](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) im *Amazon Elastic Container Service Developer Guide*.

# Security Hub CSPM-Steuerelemente für Amazon EFS
<a name="efs-controls"></a>

Diese Security Hub CSPM-Kontrollen bewerten den Service und die Ressourcen des Amazon Elastic File System (Amazon EFS). Die Steuerelemente sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS
<a name="efs-1"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/2.3.1, CIS AWS Foundations Benchmark v3.0.0/2.4.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EFS::FileSystem`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob Amazon Elastic File System so konfiguriert ist, dass es die Dateidaten verschlüsselt mit AWS KMS. Die Prüfung schlägt in den folgenden Fällen fehl.
+ `Encrypted`ist `false` in der [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html)Antwort auf eingestellt.
+ Der `KmsKeyId`-Schlüssel in der [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html)-Antwort stimmt nicht mit dem `KmsKeyId`-Parameter für [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) überein.

Beachten Sie, dass dieses Steuerelement den `KmsKeyId`-Parameter nicht für [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) verwendet. Es überprüft nur den Wert von `Encrypted`.

Für eine zusätzliche Sicherheitsebene für Ihre sensiblen Daten in Amazon EFS sollten Sie verschlüsselte Dateisysteme erstellen. Amazon EFS unterstützt die Verschlüsselung von Dateisystemen im Ruhezustand. Sie können die Verschlüsselung von Daten im Ruhezustand aktivieren, wenn Sie ein Amazon EFS-Dateisystem erstellen. Weitere Informationen zur Amazon EFS-Verschlüsselung finden Sie unter [Datenverschlüsselung in Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) im *Amazon Elastic File System-Benutzerhandbuch*.

### Abhilfe
<a name="efs-1-remediation"></a>

Einzelheiten zur Verschlüsselung eines neuen Amazon EFS-Dateisystems finden Sie unter [Verschlüsseln ruhender Daten im](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) *Amazon Elastic File System-Benutzerhandbuch*.

## [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
<a name="efs-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategorie:** Wiederherstellung > Resilienz > Backup

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EFS::FileSystem`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob Amazon Elastic File System (Amazon EFS) -Dateisysteme zu den Sicherungsplänen in hinzugefügt wurden AWS Backup. Die Kontrolle schlägt fehl, wenn Amazon EFS-Dateisysteme nicht in den Backup-Plänen enthalten sind. 

Die Einbeziehung von EFS-Dateisystemen in die Backup-Pläne hilft Ihnen, Ihre Daten vor Löschung und Datenverlust zu schützen.

### Abhilfe
<a name="efs-2-remediation"></a>

Informationen zum Aktivieren automatischer Backups für ein vorhandenes Amazon EFS-Dateisystem finden Sie unter [Erste Schritte 4: Automatische Amazon EFS-Backups erstellen](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html) im *AWS Backup Entwicklerhandbuch*.

## [EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen
<a name="efs-3"></a>

**Verwandte Anforderungen: NIST.800-53.r5 AC-6 (10**)

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EFS::AccessPoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob Amazon EFS-Zugriffspunkte so konfiguriert sind, dass sie ein Stammverzeichnis erzwingen. Die Steuerung schlägt fehl, wenn der `Path` Wert von auf `/` (das Standard-Stammverzeichnis des Dateisystems) gesetzt ist.

Wenn Sie ein Stammverzeichnis erzwingen, verwendet der NFS-Client, der den Zugriffspunkt verwendet, das auf dem Zugriffspunkt konfigurierte Stammverzeichnis anstelle des Stammverzeichnisses des Dateisystems. Durch die Festlegung eines Stammverzeichnisses für einen Access Point wird der Datenzugriff eingeschränkt, da sichergestellt wird, dass Benutzer des Access Points nur auf Dateien des angegebenen Unterverzeichnisses zugreifen können.

### Abhilfe
<a name="efs-3-remediation"></a>

Anweisungen zur Durchsetzung eines Stammverzeichnisses für einen Amazon EFS-Zugriffspunkt finden Sie unter [Durchsetzen eines Stammverzeichnisses mit einem Zugriffspunkt](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point) im *Amazon Elastic File System-Benutzerhandbuch*. 

## [EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen
<a name="efs-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EFS::AccessPoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob Amazon EFS Access Points so konfiguriert sind, dass sie eine Benutzeridentität erzwingen. Diese Steuerung schlägt fehl, wenn beim Erstellen des EFS-Zugriffspunkts keine POSIX-Benutzeridentität definiert wurde.

Amazon-EFS-Zugangspunkte sind anwendungsspezifische Einstiegspunkte in ein EFS-Dateisystem, die das Verwalten des Anwendungszugriffs auf freigegebene Datensätze erleichtern. Zugangspunkte können eine Benutzeridentität, einschließlich der POSIX-Gruppen des Benutzers, für alle Dateisystemanforderungen erzwingen, die über den Zugangspunkt erfolgen. Zugriffspunkte können auch ein anderes Stammverzeichnis für das Dateisystem erzwingen, so dass Clients nur auf Daten im angegebenen Verzeichnis oder in seinen Unterverzeichnissen zugreifen können.

### Abhilfe
<a name="efs-4-remediation"></a>

Informationen zur Durchsetzung einer Benutzeridentität für einen Amazon EFS Access Point finden Sie unter [Durchsetzung einer Benutzeridentität mithilfe eines Access Points](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points) im *Amazon Elastic File System-Benutzerhandbuch*. 

## [EFS.5] EFS-Zugangspunkte sollten markiert werden
<a name="efs-5"></a>

**Kategorie:** Identifizieren > Inventar > Kennzeichnung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EFS::AccessPoint`

**AWS Config Regel:** `tagged-efs-accesspoint` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EFS-Zugriffspunkt über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter definiert sind`requiredTagKeys`. Die Kontrolle schlägt fehl, wenn der Access Point keine Tag-Schlüssel hat oder wenn er nicht über alle im Parameter angegebenen Schlüssel verfügt`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft die Steuerung nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Access Point mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="efs-5-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EFS-Zugangspunkt finden Sie unter [Tagging Amazon EFS-Ressourcen](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html) im *Amazon Elastic File System-Benutzerhandbuch*.

## [EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen
<a name="efs-6"></a>

**Kategorie:** Schützen > Netzwerksicherheit > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EFS::FileSystem`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon EFS-Mount-Ziel Subnetzen zugeordnet ist, die beim Start öffentliche IP-Adressen zuweisen. Die Steuerung schlägt fehl, wenn das Mount-Ziel Subnetzen zugeordnet ist, die beim Start öffentliche IP-Adressen zuweisen.

Subnetze verfügen über Attribute, die bestimmen, ob Netzwerkschnittstellen automatisch öffentliche Adressen IPv4 erhalten. IPv6 Für IPv4 ist dieses Attribut für Standard-Subnetze und `TRUE` für nicht standardmäßige Subnetze auf gesetzt (mit einer Ausnahme `FALSE` für nicht standardmäßige Subnetze, die mit dem EC2 Launch Instance Wizard erstellt wurden, wo es auf gesetzt ist). `TRUE` Für IPv6 ist dieses Attribut standardmäßig auf für alle Subnetze gesetzt`FALSE`. Wenn diese Attribute aktiviert sind, erhalten Instances, die im Subnetz gestartet werden, automatisch die entsprechenden IP-Adressen (IPv4 oder IPv6) auf ihrer primären Netzwerkschnittstelle. Amazon EFS-Mount-Zielen, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.

### Abhilfe
<a name="efs-6-remediation"></a>

Um ein vorhandenes Mount-Ziel einem anderen Subnetz zuzuordnen, müssen Sie ein neues Mount-Ziel in einem Subnetz erstellen, das beim Start keine öffentlichen IP-Adressen zuweist, und dann das alte Mount-Ziel entfernen. Informationen zur Verwaltung von Mount-Zielen finden Sie unter [Erstellen und Verwalten von Mount-Zielen und Sicherheitsgruppen](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) im *Amazon Elastic File System-Benutzerhandbuch*. 

## [EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein
<a name="efs-7"></a>

**Kategorie:** Wiederherstellung > Ausfallsicherheit > Backups aktiviert

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EFS::FileSystem`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für ein Amazon EFS-Dateisystem automatische Backups aktiviert sind. Diese Steuerung schlägt fehl, wenn für das EFS-Dateisystem keine automatischen Backups aktiviert sind.

Eine Datensicherung ist eine Kopie Ihrer System-, Konfiguration- oder Anwendungsdaten, die getrennt vom Original gespeichert wird. Durch die Aktivierung regelmäßiger Backups können Sie wertvolle Daten vor unvorhergesehenen Ereignissen wie Systemausfällen, Cyberangriffen oder versehentlichem Löschen schützen. Eine robuste Backup-Strategie ermöglicht auch eine schnellere Wiederherstellung, einen unterbrechungsfreien Betrieb und sorgt für mehr Sicherheit angesichts potenzieller Datenverluste.

### Abhilfe
<a name="efs-7-remediation"></a>

Informationen AWS Backup zur Verwendung von EFS-Dateisystemen finden Sie unter [Sicherung von EFS-Dateisystemen](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) im *Amazon Elastic File System-Benutzerhandbuch*.

## [EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden
<a name="efs-8"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/2.3.1

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EFS::FileSystem`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon EFS-Dateisystem Daten mit AWS Key Management Service (AWS KMS) verschlüsselt. Die Steuerung schlägt fehl, wenn ein Dateisystem nicht verschlüsselt ist.

Daten im Ruhezustand beziehen sich auf Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch die Verschlüsselung ruhender Daten können Sie deren Vertraulichkeit schützen, wodurch das Risiko verringert wird, dass ein nicht autorisierter Benutzer darauf zugreifen kann.

### Abhilfe
<a name="efs-8-remediation"></a>

Informationen zum Aktivieren der Verschlüsselung im Ruhezustand für ein neues EFS-Dateisystem finden Sie unter [Verschlüsselung ruhender Daten](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) im *Amazon Elastic File System-Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für Amazon EKS
<a name="eks-controls"></a>

Diese Security Hub CSPM-Steuerungen bewerten den Service und die Ressourcen des Amazon Elastic Kubernetes Service (Amazon EKS). Die Steuerelemente sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein
<a name="eks-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EKS::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon EKS-Cluster-Endpunkt öffentlich zugänglich ist. Die Kontrolle schlägt fehl, wenn ein EKS-Cluster über einen öffentlich zugänglichen Endpunkt verfügt.

Wenn Sie einen neuen Cluster erstellen, erstellt Amazon EKS einen Endpunkt für den verwalteten Kubernetes-API-Server, den Sie für die Kommunikation mit Ihrem Cluster verwenden. Standardmäßig ist dieser API-Server-Endpunkt öffentlich im Internet verfügbar. Der Zugriff auf den API-Server wird durch eine Kombination aus AWS Identity and Access Management (IAM) und nativer Kubernetes-Rollenbasierter Zugriffskontrolle (RBAC) gesichert. Indem Sie den öffentlichen Zugriff auf den Endpunkt unterbinden, können Sie verhindern, dass Ihr Cluster unbeabsichtigt gefährdet ist und Sie darauf zugreifen können.

### Abhilfe
<a name="eks-1-remediation"></a>

Informationen zum Ändern des Endpunktzugriffs für einen vorhandenen EKS-Cluster finden Sie unter [Ändern des Cluster-Endpunktzugriffs](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) im **Amazon EKS-Benutzerhandbuch**. Sie können den Endpunktzugriff für einen neuen EKS-Cluster einrichten, wenn Sie ihn erstellen. Anweisungen zum Erstellen eines neuen Amazon EKS-Clusters finden Sie unter [Erstellen eines Amazon EKS-Clusters](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html) im **Amazon EKS-Benutzerhandbuch**. 

## [EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
<a name="eks-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/12.3.4

**Kategorie: Identifizieren** > Sicherheitslücken-, Patch- und Versionsverwaltung

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EKS::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `oldestVersionSupported`: `1.33` (nicht anpassbar)

Dieses Steuerelement prüft, ob ein Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster auf einer unterstützten Kubernetes-Version ausgeführt wird. Die Steuerung schlägt fehl, wenn der EKS-Cluster auf einer nicht unterstützten Version ausgeführt wird.

Wenn Ihre Anwendung keine bestimmte Version von Kubernetes benötigt, empfehlen wir Ihnen, die neueste verfügbare Kubernetes-Version zu verwenden, die von EKS für Ihre Cluster unterstützt wird. **Weitere Informationen finden Sie im [Amazon EKS-Veröffentlichungskalender für Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar) und im Amazon [EKS-Benutzerhandbuch im Überblick über den Lebenszyklus der Kubernetes-Version auf Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation).**

### Abhilfe
<a name="eks-2-remediation"></a>

Informationen zum Aktualisieren eines EKS-Clusters finden Sie unter [Aktualisieren eines vorhandenen Clusters auf eine neue Kubernetes-Version](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html) im **Amazon EKS-Benutzerhandbuch**. 

## [EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden
<a name="eks-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, PCI DSS v4.0.1/8.3.2

**Kategorie: Schützen > Datenschutz >** Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EKS::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon EKS-Cluster verschlüsselte Kubernetes-Geheimnisse verwendet. Die Steuerung schlägt fehl, wenn die Kubernetes-Geheimnisse des Clusters nicht verschlüsselt sind.

Wenn Sie Geheimnisse verschlüsseln, können Sie AWS Key Management Service (AWS KMS) -Schlüssel verwenden, um die in etcd für Ihren Cluster gespeicherten Kubernetes-Geheimnisse mit Umschlägen zu verschlüsseln. Diese Verschlüsselung erfolgt zusätzlich zur EBS-Volumenverschlüsselung, die standardmäßig für alle Daten (einschließlich Secrets) aktiviert ist, die in etcd als Teil eines EKS-Clusters gespeichert sind. Durch die Verschlüsselung von Geheimnissen für Ihren EKS-Cluster können Sie eine umfassende Verteidigungsstrategie für Kubernetes-Anwendungen implementieren, indem Sie Kubernetes-Geheimnisse mit einem KMS-Schlüssel verschlüsseln, den Sie definieren und verwalten.

### Abhilfe
<a name="eks-3-remediation"></a>

Informationen zum Aktivieren der Geheimverschlüsselung auf einem EKS-Cluster finden Sie unter [Enabling Secret Encryption on a existing cluster](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) im **Amazon EKS-Benutzerhandbuch**. 

## [EKS.6] EKS-Cluster sollten markiert werden
<a name="eks-6"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EKS::Cluster`

**AWS Config Regel:** `tagged-eks-cluster` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EKS-Cluster Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredTagKeys`. Die Steuerung schlägt fehl, wenn der Cluster keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Cluster mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="eks-6-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EKS-Cluster finden Sie unter [Taggen Ihrer Amazon EKS-Ressourcen](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) im **Amazon EKS-Benutzerhandbuch**.

## [EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden
<a name="eks-7"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EKS::IdentityProviderConfig`

**AWS Config Regel:** `tagged-eks-identityproviderconfig` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EKS-Identitätsanbieter-Konfiguration Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredTagKeys`. Die Steuerung schlägt fehl, wenn die Konfiguration keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Konfiguration mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="eks-7-remediation"></a>

Informationen zum Hinzufügen von Tags zu Konfigurationen eines EKS-Identitätsanbieters finden Sie unter [Taggen Ihrer Amazon EKS-Ressourcen](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) im **Amazon EKS-Benutzerhandbuch**.

## [EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein
<a name="eks-8"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::EKS::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `logTypes: audit`(nicht anpassbar)

Dieses Steuerelement prüft, ob für einen Amazon EKS-Cluster die Auditprotokollierung aktiviert ist. Die Kontrolle schlägt fehl, wenn die Audit-Protokollierung für den Cluster nicht aktiviert ist.

**Anmerkung**  
Dieses Steuerelement überprüft nicht, ob die Amazon EKS-Auditprotokollierung über Amazon Security Lake für aktiviert ist AWS-Konto.

Die EKS-Protokollierung auf der Kontrollebene stellt Prüf- und Diagnoseprotokolle direkt von der EKS-Steuerebene zu Amazon CloudWatch Logs in Ihrem Konto bereit. Sie können die Protokolltypen auswählen, die Sie benötigen, und die Protokolle werden als Protokollstreams an eine Gruppe für jeden EKS-Cluster gesendet CloudWatch. Die Protokollierung bietet Einblick in den Zugriff und die Leistung von EKS-Clustern. Indem Sie die Protokolle der EKS-Kontrollebene für Ihre EKS-Cluster an CloudWatch Logs senden, können Sie Vorgänge zu Prüf- und Diagnosezwecken an einem zentralen Ort aufzeichnen.

### Abhilfe
<a name="eks-8-remediation"></a>

Informationen zum Aktivieren von Audit-Logs für Ihren EKS-Cluster finden Sie unter [Aktivieren und Deaktivieren von Control Plane-Protokollen](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export) im **Amazon EKS-Benutzerhandbuch**. 

# Security Hub CSPM-Steuerungen für ElastiCache
<a name="elasticache-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den ElastiCache Service und die Ressourcen von Amazon. Die Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
<a name="elasticache-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Backups aktiviert

**Schweregrad:** Hoch

**Ressourcentyp:**`AWS::ElastiCache::CacheCluster`, `AWS:ElastiCache:ReplicationGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `snapshotRetentionPeriod`  |  Minimale Aufbewahrungsdauer für Snapshots in Tagen  |  Ganzzahl  |  `1` auf `35`  |  `1`  | 

Dieses Steuerelement bewertet, ob für einen Amazon ElastiCache (Redis OSS) -Cluster automatische Backups aktiviert sind. Die Steuerung schlägt fehl, wenn der `SnapshotRetentionLimit` für den Redis OSS-Cluster angegebene Zeitraum kürzer als der angegebene Zeitraum ist. Sofern Sie keinen benutzerdefinierten Parameterwert für die Aufbewahrungsdauer von Snapshots angeben, verwendet Security Hub CSPM einen Standardwert von 1 Tag.

ElastiCache (Redis OSS) -Cluster können ihre Daten sichern. Sie können das Backup verwenden, um einen Cluster wiederherzustellen oder einen neuen Cluster zu starten. Das Backup besteht aus den Metadaten des Clusters sowie allen Daten im Cluster. Alle Backups werden auf Amazon S3 geschrieben, was dauerhaften Speicherplatz bietet. Sie können Ihre Daten wiederherstellen, indem Sie einen neuen ElastiCache Cluster erstellen und ihn mit Daten aus einem Backup füllen. Sie können Backups mithilfe der AWS-Managementkonsole AWS CLI, und der ElastiCache API verwalten.

**Anmerkung**  
Dieses Steuerelement bewertet auch ElastiCache Replikationsgruppen (Redis OSS und Valkey).

### Abhilfe
<a name="elasticache-1-remediation"></a>

Informationen zur Planung automatischer Backups für einen ElastiCache Cluster finden Sie unter [Automatische Backups planen](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html) im * ElastiCache Amazon-Benutzerhandbuch*.

## [ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein
<a name="elasticache-2"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5) PCI DSS v4.0.1/6.3.3

**Kategorie**: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::ElastiCache::CacheCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Diese Kontrolle bewertet, ob Amazon ElastiCache automatisch kleinere Versions-Upgrades auf einen Cache-Cluster anwendet. Die Kontrolle schlägt fehl, wenn auf den Cache-Cluster keine automatischen Upgrades für Nebenversionen angewendet werden.

**Anmerkung**  
Diese Steuerung gilt nicht für ElastiCache Memcached-Cluster.

Das automatische Upgrade von Nebenversionen ist eine Funktion, die Sie in Amazon aktivieren können ElastiCache , um Ihre Cache-Cluster automatisch zu aktualisieren, wenn eine neue kleinere Cache-Engine-Version verfügbar ist. Diese Upgrades können Sicherheitspatches und Bugfixes beinhalten. Die up-to-date Beibehaltung der Patch-Installation ist ein wichtiger Schritt zur Sicherung der Systeme.

### Abhilfe
<a name="elasticache-2-remediation"></a>

Informationen zum automatischen Anwenden kleinerer Versions-Upgrades auf einen vorhandenen ElastiCache Cache-Cluster finden Sie unter [Versionsverwaltung für ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html) im * ElastiCache Amazon-Benutzerhandbuch*.

## [ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
<a name="elasticache-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElastiCache::ReplicationGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob für eine ElastiCache Replikationsgruppe das automatische Failover aktiviert ist. Die Steuerung schlägt fehl, wenn der automatische Failover für eine Replikationsgruppe nicht aktiviert ist.

Wenn der automatische Failover für eine Replikationsgruppe aktiviert ist, erfolgt für die Rolle des Primärknotens automatisch ein Failover auf eine der Read Replicas. Dieses Failover und die Replikatheraufstufung stellen sicher, dass Sie nach Abschluss der Heraufstufung wieder auf den neuen Primärserver schreiben können, wodurch die Gesamtausfallzeit im Falle eines Fehlers reduziert wird.

### Abhilfe
<a name="elasticache-3-remediation"></a>

Informationen zum Aktivieren des automatischen Failovers für eine bestehende ElastiCache Replikationsgruppe finden Sie unter [Modifizieren eines ElastiCache Clusters](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON) im * ElastiCache Amazon-Benutzerhandbuch*. Wenn Sie die ElastiCache Konsole verwenden, setzen Sie **Auto Failover auf aktiviert**.

## [ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
<a name="elasticache-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElastiCache::ReplicationGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine ElastiCache Replikationsgruppe im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn die Replikationsgruppe im Ruhezustand nicht verschlüsselt ist.

Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass ein nicht authentifizierter Benutzer Zugriff auf Daten erhält, die auf der Festplatte gespeichert sind. ElastiCache (Redis OSS) Replikationsgruppen sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten.

### Abhilfe
<a name="elasticache-4-remediation"></a>

Informationen zur Konfiguration der Verschlüsselung im Ruhezustand für eine ElastiCache Replikationsgruppe finden Sie unter [Enabling at rest encryption](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable) im * ElastiCache Amazon-Benutzerhandbuch*.

## [ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
<a name="elasticache-5"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElastiCache::ReplicationGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine ElastiCache Replikationsgruppe während der Übertragung verschlüsselt ist. Die Steuerung schlägt fehl, wenn die Replikationsgruppe bei der Übertragung nicht verschlüsselt wird.

Durch die Verschlüsselung von Daten während der Übertragung wird das Risiko verringert, dass ein nicht autorisierter Benutzer den Netzwerkverkehr abhören kann. Wenn Sie die Verschlüsselung bei der Übertragung in einer ElastiCache Replikationsgruppe aktivieren, werden Ihre Daten immer dann verschlüsselt, wenn sie von einem Ort an einen anderen übertragen werden, z. B. zwischen Knoten in Ihrem Cluster oder zwischen Ihrem Cluster und Ihrer Anwendung.

### Abhilfe
<a name="elasticache-5-remediation"></a>

Informationen zur Konfiguration der Verschlüsselung während der Übertragung für eine ElastiCache Replikationsgruppe finden Sie unter [Aktivieren der Verschlüsselung bei der Übertragung](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html) *im ElastiCache Amazon-Benutzerhandbuch*.

## [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein
<a name="elasticache-6"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 (7), PCI DSS v4.0.1/8.3.1 NIST.800-53.r5 AC-6

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElastiCache::ReplicationGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob für eine Replikationsgruppe ElastiCache (Redis OSS) Redis OSS AUTH aktiviert ist. Die Steuerung schlägt fehl, wenn die Redis OSS-Version der Replikationsgruppenknoten unter 6.0 liegt und `AuthToken` nicht verwendet wird.

Wenn Sie Redis-Authentifizierungstoken oder Passwörter verwenden, benötigt Redis ein Passwort, bevor Clients Befehle ausführen können, was die Datensicherheit verbessert. Für Redis 6.0 und spätere Versionen empfehlen wir die Verwendung von Role-Based Access Control (RBAC). Da RBAC für Redis-Versionen vor 6.0 nicht unterstützt wird, wertet dieses Steuerelement nur Versionen aus, die die RBAC-Funktion nicht verwenden können.

### Abhilfe
<a name="elasticache-6-remediation"></a>

*Informationen zur Verwendung von Redis AUTH in einer ElastiCache (Redis OSS) Replikationsgruppe finden Sie unter [Ändern des AUTH-Tokens auf einem vorhandenen ElastiCache (Redis OSS) -Cluster](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token) im Amazon-Benutzerhandbuch. ElastiCache *

## [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
<a name="elasticache-7"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::ElastiCache::CacheCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein ElastiCache Cluster mit einer benutzerdefinierten Subnetzgruppe konfiguriert ist. Die Steuerung schlägt fehl, wenn `CacheSubnetGroupName` für einen ElastiCache Cluster der Wert `default` gilt.

Beim Starten eines ElastiCache Clusters wird eine Standard-Subnetzgruppe erstellt, falls noch keine vorhanden ist. Die Standardgruppe verwendet Subnetze aus der standardmäßigen Virtual Private Cloud (VPC). Wir empfehlen, benutzerdefinierte Subnetzgruppen zu verwenden, die die Subnetze, in denen sich der Cluster befindet, und die Netzwerke, die der Cluster von den Subnetzen erbt, restriktiver behandeln.

### Abhilfe
<a name="elasticache-7-remediation"></a>

Informationen zum Erstellen einer neuen Subnetzgruppe für einen ElastiCache Cluster finden Sie unter [Erstellen einer Subnetzgruppe](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html) im * ElastiCache Amazon-Benutzerhandbuch*.

# Security Hub CSPM-Steuerelemente für Elastic Beanstalk
<a name="elasticbeanstalk-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS Elastic Beanstalk Service und die Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben
<a name="elasticbeanstalk-1"></a>

**Verwandte Anforderungen:**, NIST.800-53.R5 NIST.800-53.r5 CA-7 SI-2

**Kategorie: Erkennen > Erkennungsdienste > Anwendungsüberwachung**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::ElasticBeanstalk::Environment`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die erweiterte Integritätsberichterstattung für Ihre AWS Elastic Beanstalk Umgebungen aktiviert ist.

Die verbesserte Zustandsberichterstattung von Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Veränderungen im Zustand der zugrunde liegenden Infrastruktur. Diese Änderungen könnten zu einer mangelnden Verfügbarkeit der Anwendung führen.

Die erweiterten Zustandsberichte von Elastic Beanstalk bieten eine Statusbeschreibung, um den Schweregrad der identifizierten Probleme einzuschätzen und mögliche Ursachen zu identifizieren, die untersucht werden müssen. Der Elastic Beanstalk Health Agent, der in unterstützten Amazon Machine Images (AMIs) enthalten ist, wertet Logs und Metriken von Umgebungsinstanzen aus. EC2

*Weitere Informationen finden Sie unter [Verbesserte Statusberichterstattung und Überwachung im AWS Elastic Beanstalk Entwicklerhandbuch](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html).*

### Abhilfe
<a name="elasticbeanstalk-1-remediation"></a>

Anweisungen zur Aktivierung der erweiterten Zustandsberichterstattung finden Sie unter [Enabling enhanced Health Reporting using the Elastic Beanstalk Console](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console) im *AWS Elastic Beanstalk Developer* Guide.

## [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
<a name="elasticbeanstalk-2"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategorie**: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::ElasticBeanstalk::Environment`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `UpdateLevel`  |  Stufe des Versionsupdates  |  Enum  |  `minor`, `patch`  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob verwaltete Plattformupdates für eine Elastic Beanstalk Beanstalk-Umgebung aktiviert sind. Die Steuerung schlägt fehl, wenn keine Updates für verwaltete Plattformen aktiviert sind. Standardmäßig ist die Steuerung erfolgreich, wenn irgendeine Art von Plattform-Update aktiviert ist. Optional können Sie einen benutzerdefinierten Parameterwert angeben, um eine bestimmte Aktualisierungsstufe zu erfordern.

Durch die Aktivierung verwalteter Plattformupdates wird sichergestellt, dass die neuesten verfügbaren Plattformkorrekturen, Updates und Funktionen für die Umgebung installiert werden. Die Aktualisierung der Patch-Installation ist ein wichtiger Schritt zur Sicherung der Systeme.

### Abhilfe
<a name="elasticbeanstalk-2-remediation"></a>

Informationen zur Aktivierung verwalteter Plattformupdates finden Sie unter [So konfigurieren Sie verwaltete Plattformupdates unter Verwaltete Plattformupdates](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html) im *AWS Elastic Beanstalk Entwicklerhandbuch*.

## [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
<a name="elasticbeanstalk-3"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/10.4.2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::ElasticBeanstalk::Environment`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `RetentionInDays`  |  Anzahl der Tage, an denen Protokollereignisse vor Ablauf aufbewahrt werden sollen  |  Enum  |  `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653`   |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Elastic Beanstalk Beanstalk-Umgebung so konfiguriert ist, dass sie Logs an CloudWatch Logs sendet. Die Steuerung schlägt fehl, wenn eine Elastic Beanstalk Beanstalk-Umgebung nicht so konfiguriert ist, dass sie Logs an CloudWatch Logs sendet. Optional können Sie einen benutzerdefinierten Wert für den `RetentionInDays` Parameter angeben, wenn Sie möchten, dass die Steuerung nur dann erfolgreich ist, wenn Logs für die angegebene Anzahl von Tagen vor Ablauf aufbewahrt werden.

CloudWatch hilft Ihnen dabei, verschiedene Messwerte für Ihre Anwendungen und Infrastrukturressourcen zu sammeln und zu überwachen. Sie können es auch verwenden CloudWatch , um Alarmaktionen auf der Grundlage bestimmter Metriken zu konfigurieren. Wir empfehlen die Integration von Elastic Beanstalk mit, CloudWatch um mehr Einblick in Ihre Elastic Beanstalk Beanstalk-Umgebung zu erhalten. Zu den Elastic Beanstalk Beanstalk-Protokollen gehören die Datei eb-activity.log, Zugriffsprotokolle vom Umgebungs-Nginx- oder Apache-Proxyserver sowie Protokolle, die für eine Umgebung spezifisch sind.

### Abhilfe
<a name="elasticbeanstalk-3-remediation"></a>

Informationen zur Integration von Elastic Beanstalk mit CloudWatch Logs finden Sie im *AWS Elastic Beanstalk Developer* Guide unter [ CloudWatch Instanzprotokolle streamen](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming).

# Security Hub CSPM-Steuerelemente für Elastic Load Balancing
<a name="elb-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Elastic Load Balancing Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden
<a name="elb-1"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3), 3 NIST.800-53.r5 AC-4, 3, 3 NIST.800-53.r5 IA-5 (3), (4),, NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) 

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob die HTTP-zu-HTTPS-Umleitung auf allen HTTP-Listenern von Application Load Balancers konfiguriert ist. Die Steuerung schlägt fehl, wenn für einen der HTTP-Listener von Application Load Balancers keine HTTP-zu-HTTPS-Umleitung konfiguriert ist.

Bevor Sie Ihren Application Load Balancer verwenden können, müssen Sie einen oder mehrere Listener hinzufügen. Ein Listener ist ein Prozess, der das konfigurierte Protokoll und den Port verwendet, um nach Verbindungsanforderungen zu suchen. Listener unterstützen sowohl das HTTP- als auch das HTTPS-Protokoll. Sie können einen HTTPS-Listener verwenden, um die Arbeit der Verschlüsselung und Entschlüsselung auf Ihren Load Balancer auszulagern. Um die Verschlüsselung während der Übertragung zu erzwingen, sollten Sie Umleitungsaktionen mit Application Load Balancers verwenden, um Client-HTTP-Anfragen an eine HTTPS-Anfrage an Port 443 umzuleiten.

Weitere Informationen finden Sie unter [Listener für Ihre Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html) im *Benutzerhandbuch für Application* Load Balancers.

### Abhilfe
<a name="elb-1-remediation"></a>

Um HTTP-Anfragen an HTTPS umzuleiten, müssen Sie eine Application Load Balancer Balancer-Listener-Regel hinzufügen oder eine bestehende Regel bearbeiten.

Anweisungen zum Hinzufügen einer neuen Regel finden [Sie unter Regel hinzufügen](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule) im *Benutzerhandbuch für Application Load* Balancers. Wählen Sie für **Protocol: Port** die Option **HTTP** und geben Sie dann ein**80**. Wählen **Sie für Aktion hinzufügen die Option Umleiten zu die** Option **HTTPS** aus, und geben Sie dann die Eingabetaste ein**443**.

Anweisungen zum Bearbeiten einer vorhandenen Regel finden Sie unter [Regel bearbeiten](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule) im *Benutzerhandbuch für Application Load Balancers*. Wählen Sie für **Protocol: Port** die Option **HTTP** und geben Sie dann ein**80**. Wählen **Sie für Aktion hinzufügen die Option Umleiten zu die** Option **HTTPS** aus, und geben Sie dann die Eingabetaste ein**443**.

## [ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager
<a name="elb-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (5), NIST.800-53.r5 SC-1 (4), (1), ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.8 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob der Classic Load Balancer von AWS Certificate Manager (ACM) bereitgestellte HTTPS/SSL Zertifikate verwendet. Die Steuerung schlägt fehl, wenn der mit dem HTTPS/SSL Listener konfigurierte Classic Load Balancer kein von ACM bereitgestelltes Zertifikat verwendet.

Um ein Zertifikat zu erstellen, können Sie entweder ACM oder ein Tool verwenden, das die SSL- und TLS-Protokolle unterstützt, z. B. OpenSSL. Security Hub CSPM empfiehlt, dass Sie ACM verwenden, um Zertifikate für Ihren Load Balancer zu erstellen oder zu importieren.

ACM ist in Classic Load Balancers integriert, sodass Sie das Zertifikat auf Ihrem Load Balancer bereitstellen können. Sie sollten diese Zertifikate auch automatisch erneuern.

### Abhilfe
<a name="elb-2-remediation"></a>

Informationen zum Zuordnen eines SSL/TLS ACM-Zertifikats zu einem Classic Load Balancer finden Sie im AWS Knowledge Center-Artikel [Wie kann ich ein SSL/TLS ACM-Zertifikat mit einem Classic-, Anwendungs- oder Network Load Balancer verknüpfen](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/)?

## [ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden
<a name="elb-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Ihre Classic Load Balancer Balancer-Listener mit dem HTTPS- oder TLS-Protokoll für Front-End-Verbindungen (Client zu Load Balancer) konfiguriert sind. Die Steuerung ist anwendbar, wenn ein Classic Load Balancer über Listener verfügt. Wenn für Ihren Classic Load Balancer kein Listener konfiguriert ist, meldet die Steuerung keine Ergebnisse.

Die Steuerung ist erfolgreich, wenn die Classic Load Balancer Balancer-Listener mit TLS oder HTTPS für Frontend-Verbindungen konfiguriert sind.

Die Steuerung schlägt fehl, wenn der Listener nicht mit TLS oder HTTPS für Frontend-Verbindungen konfiguriert ist.

Bevor Sie mit der Verwendung eines Load Balancers beginnen, müssen Sie einen oder mehrere Listener hinzufügen. Ein Listener ist ein Prozess, der das konfigurierte Protokoll und den Port verwendet, um nach Verbindungsanforderungen zu suchen. Listener können sowohl HTTP als auch Protokolle unterstützen. HTTPS/TLS Sie sollten immer einen HTTPS- oder TLS-Listener verwenden, damit der Load Balancer die Ver- und Entschlüsselung während der Übertragung übernimmt.

### Abhilfe
<a name="elb-3-remediation"></a>

Um dieses Problem zu beheben, aktualisieren Sie Ihre Listener so, dass sie das TLS- oder HTTPS-Protokoll verwenden.

**Um alle nicht konformen Listener in Listener umzuwandeln TLS/HTTPS**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich unter **Load Balancing** die Option **Load Balancers** aus.

1. Wählen Sie Ihren Classic Load Balancer aus.

1. Wählen Sie auf der Registerkarte **Listeners** die Option **Edit** aus.

1. Ändern Sie für alle Listener, bei denen das **Load Balancer-Protokoll** nicht auf HTTPS oder SSL eingestellt ist, die Einstellung auf HTTPS oder SSL.

1. **Wählen Sie für alle modifizierten Listener auf der Registerkarte **Zertifikate** die Option Standard ändern aus.**

1. Wählen Sie für **ACM- und IAM-Zertifikate** ein Zertifikat aus.

1. Wählen Sie **Als Standard speichern** aus.

1. **Nachdem Sie alle Listener aktualisiert haben, wählen Sie Speichern.**

## [ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden
<a name="elb-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/6.2.4

**Kategorie: Schützen > Netzwerksicherheit**

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement bewertet, ob ein Application Load Balancer so konfiguriert ist, dass er ungültige HTTP-Header löscht. Das Steuerelement schlägt fehl, wenn der Wert von auf gesetzt `routing.http.drop_invalid_header_fields.enabled` ist. `false`

Standardmäßig sind Application Load Balancer nicht so konfiguriert, dass sie ungültige HTTP-Header-Werte löschen. Durch das Entfernen dieser Header-Werte werden HTTP-Desync-Angriffe verhindert.

**Anmerkung**  
Wir empfehlen, diese Steuerung zu deaktivieren, wenn ELB.12 in Ihrem Konto aktiviert ist. Weitere Informationen finden Sie unter [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](#elb-12).

### Abhilfe
<a name="elb-4-remediation"></a>

Um dieses Problem zu beheben, konfigurieren Sie Ihren Load Balancer so, dass ungültige Header-Felder gelöscht werden.

**Um den Load Balancer so zu konfigurieren, dass ungültige Header-Felder gelöscht werden**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Klicken Sie im Navigationsbereich auf **Load balancers (Load Balancer)**.

1. Wählen Sie einen Application Load Balancer.

1. Wählen Sie **unter Aktionen** die Option **Attribute bearbeiten** aus.

1. Wählen **Sie unter Ungültige Header-Felder löschen** die Option **Aktivieren** aus.

1. Wählen Sie **Speichern**.

## [ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein
<a name="elb-5"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8)

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

`AWS::ElasticLoadBalancing::LoadBalancer`Ressourcentyp**:**, `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)

**Zeitplantyp:** Änderung ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob der Application Load Balancer und der Classic Load Balancer die Protokollierung aktiviert haben. Wenn ja, schlägt die Steuerung fehl. `access_logs.s3.enabled` `false`

Elastic Load Balancing bietet Zugriffsprotokolle, die detaillierte Informationen zu Anforderungen erfassen, die an Ihren Load Balancer gesendet werden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. Sie können diese Zugriffsprotokolle für die Analyse von Datenverkehrsmustern und zur Problembehebung verwenden. 

Weitere Informationen finden Sie unter [Zugriffsprotokolle für Ihren Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) im *Benutzerhandbuch für Classic Load Balancer*.

### Abhilfe
<a name="elb-5-remediation"></a>

Informationen zum Aktivieren von Zugriffsprotokollen finden Sie unter [Schritt 3: Zugriffsprotokolle konfigurieren](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs) im *Benutzerhandbuch für Application Load* Balancers.

## [ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein
<a name="elb-6"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategorie:** Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für eine Anwendung, ein Gateway oder ein Network Load Balancer der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn der Löschschutz deaktiviert ist.

Aktivieren Sie den Löschschutz, um Ihre Anwendung, Ihr Gateway oder Ihren Network Load Balancer vor dem Löschen zu schützen.

### Abhilfe
<a name="elb-6-remediation"></a>

Um zu verhindern, dass der Load Balancer versehentlich gelöscht wird, können Sie den Löschschutz aktivieren. Standardmäßig ist der Löschschutz für Ihren Load Balancer deaktiviert.

Wenn Sie den Löschschutz für Ihren Load Balancer aktivieren, müssen Sie den Löschschutz deaktivieren, bevor Sie den Load Balancer löschen können.

Informationen zum Aktivieren des Löschschutzes für einen Application Load Balancer finden Sie unter [Löschschutz](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection) im *Benutzerhandbuch für Application Load Balancer*. Informationen zum Aktivieren des Löschschutzes für einen Gateway Load Balancer finden Sie unter [Löschschutz](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection) im *Benutzerhandbuch für Gateway Load Balancer*. Informationen zum Aktivieren des Löschschutzes für einen Network Load Balancer finden Sie unter [Löschschutz](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection) im *Benutzerhandbuch für Network Load Balancer*.

## [ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein
<a name="elb-7"></a>

**Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5** CM-2

**Kategorie**: Erholung > Resilienz

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config Regel:** `elb-connection-draining-enabled` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob bei Classic Load Balancers der Verbindungsabbau aktiviert ist.

Durch die Aktivierung des Verbindungsabbaus auf Classic Load Balancers wird sichergestellt, dass der Load Balancer keine Anfragen mehr an Instances sendet, die sich abmelden oder deren Status beeinträchtigt ist. Es hält die bestehenden Verbindungen offen. Dies ist besonders nützlich für Instances in Auto Scaling Scaling-Gruppen, um sicherzustellen, dass Verbindungen nicht abrupt unterbrochen werden.

### Abhilfe
<a name="elb-7-remediation"></a>

Informationen zum Aktivieren des Verbindungsabbaus auf Classic Load Balancers finden [Sie unter Connection Draining für Ihren Classic Load Balancer konfigurieren](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html) im *Benutzerhandbuch für* Classic Load Balancers.

## [ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config
<a name="elb-8"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST.800-53.R5 SI-7 (6), NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `predefinedPolicyName`: `ELBSecurityPolicy-TLS-1-2-2017-01` (nicht anpassbar)

Dieses Steuerelement prüft, ob Ihre Classic Load Balancer HTTPS/SSL Balancer-Listener die vordefinierte Richtlinie verwenden. `ELBSecurityPolicy-TLS-1-2-2017-01` Die Steuerung schlägt fehl, wenn die Classic Load Balancer HTTPS/SSL Balancer-Listener sie nicht verwenden. `ELBSecurityPolicy-TLS-1-2-2017-01`

Eine Sicherheitsrichtlinie ist eine Kombination aus SSL-Protokollen, Chiffren und der Option Server Order Preference. Vordefinierte Richtlinien steuern die Chiffren, Protokolle und Präferenzreihenfolgen, die bei SSL-Verhandlungen zwischen einem Client und einem Load Balancer unterstützt werden sollen.

Die Verwendung `ELBSecurityPolicy-TLS-1-2-2017-01` kann Ihnen dabei helfen, die Compliance- und Sicherheitsstandards zu erfüllen, nach denen Sie bestimmte Versionen von SSL und TLS deaktivieren müssen. Weitere Informationen finden Sie unter [Vordefinierte SSL-Sicherheitsrichtlinien für Classic Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html) im *Benutzerhandbuch für Classic Load Balancers*.

### Abhilfe
<a name="elb-8-remediation"></a>

Informationen zur Verwendung der vordefinierten Sicherheitsrichtlinie `ELBSecurityPolicy-TLS-1-2-2017-01` mit einem Classic Load Balancer finden [Sie unter Sicherheitseinstellungen konfigurieren](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth) im *Benutzerhandbuch für Classic Load Balancers*.

## [ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein
<a name="elb-9"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob der zonenübergreifende Load Balancing für die Classic Load Balancer aktiviert ist ()CLBs. Die Steuerung schlägt fehl, wenn der zonenübergreifende Lastenausgleich für einen CLB nicht aktiviert ist.

Ein Load Balancer-Knoten verteilt den Verkehr nur auf die registrierten Ziele in seiner Availability Zone. Wenn zonenübergreifendes Load Balancing deaktiviert ist, verteilt jeder Load Balancer-Knoten den Datenverkehr gleichmäßig nur auf die registrierten Ziele in seiner Availability Zone. Wenn die Anzahl der registrierten Ziele in den Availability Zones nicht identisch ist, wird der Verkehr nicht gleichmäßig verteilt und die Instances in einer Zone werden möglicherweise im Vergleich zu den Instances in einer anderen Zone überlastet. Wenn zonenübergreifendes Load Balancing aktiviert ist, verteilt jeder Load Balancer-Knoten für Ihren Classic Load Balancer Anfragen gleichmäßig auf die registrierten Instances in allen aktivierten Availability Zones. Einzelheiten finden Sie unter [Zonenübergreifendes Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing) im Elastic Load Balancing User Guide.

### Abhilfe
<a name="elb-9-remediation"></a>

Informationen zur Aktivierung von zonenübergreifendem Load Balancing in einem Classic Load Balancer finden Sie unter [Aktivieren von zonenübergreifendem Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone) im *Benutzerhandbuch für Classic* Load Balancer.

## [ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
<a name="elb-10"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Mindestanzahl von Availability Zones  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Dieses Steuerelement prüft, ob ein Classic Load Balancer so konfiguriert wurde, dass er sich über mindestens die angegebene Anzahl von Availability Zones (AZs) erstreckt. Die Steuerung schlägt fehl, wenn der Classic Load Balancer nicht mindestens die angegebene Anzahl von AZs umfasst. Sofern Sie keinen benutzerdefinierten Parameterwert für die Mindestanzahl von angeben AZs, verwendet Security Hub CSPM einen Standardwert von 2. AZs

 Ein Classic Load Balancer kann so eingerichtet werden, dass eingehende Anfragen auf Amazon EC2 EC2-Instances in einer einzigen Availability Zone oder mehreren Availability Zones verteilt werden. Ein Classic Load Balancer, der sich nicht über mehrere Availability Zones erstreckt, kann Traffic nicht zu Zielen in einer anderen Availability Zone umleiten, wenn die einzige konfigurierte Availability Zone nicht verfügbar ist. 

### Abhilfe
<a name="elb-10-remediation"></a>

 Informationen zum Hinzufügen von Availability Zones zu einem Classic Load Balancer finden [Sie unter Hinzufügen oder Entfernen von Subnetzen für Ihren Classic Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html) im *Benutzerhandbuch für Classic* Load Balancer. 

## [ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden
<a name="elb-12"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/6.2.4

**Kategorie**: Schützen > Datenschutz > Datenintegrität

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `desyncMode`: `defensive, strictest` (nicht anpassbar)

Dieses Steuerelement prüft, ob ein Application Load Balancer mit dem defensiven Modus oder dem strengsten Modus zur Desynchronisierung konfiguriert ist. Die Steuerung schlägt fehl, wenn ein Application Load Balancer nicht mit dem defensiven Modus oder dem strengsten Modus zur Desynchronisierung konfiguriert ist.

Probleme mit der HTTP-Desynchronisierung können zum Schmuggel von Anfragen führen und Anwendungen anfällig für Queue-Anfragen oder Cache-Poisoning machen. Diese Sicherheitsanfälligkeiten können wiederum dazu führen, dass Anmeldeinformationen überlastet werden oder nicht autorisierte Befehle ausgeführt werden. Application Load Balancer, die mit dem defensiven Modus oder der striktesten Abschwächung der Desynchronisierung konfiguriert sind, schützen Ihre Anwendung vor Sicherheitsproblemen, die durch HTTP-Desync verursacht werden können. 

### Abhilfe
<a name="elb-12-remediation"></a>

*Informationen zum Aktualisieren des Desync-Minimationsmodus eines Application Load Balancer finden Sie unter [Desync-Minimationsmodus](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode) im Benutzerhandbuch für Application Load Balancers.* 

## [ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken
<a name="elb-13"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit 

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Mindestanzahl von Availability Zones  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Dieses Steuerelement prüft, ob ein Elastic Load Balancer V2 (Application, Network oder Gateway Load Balancer) Instances aus mindestens der angegebenen Anzahl von Availability Zones (AZs) registriert hat. Die Steuerung schlägt fehl, wenn auf einem Elastic Load Balancer V2 keine Instances in mindestens der angegebenen Anzahl von AZs registriert sind. Sofern Sie keinen benutzerdefinierten Parameterwert für die Mindestanzahl von angeben AZs, verwendet Security Hub CSPM einen Standardwert von 2. AZs

Elastic Load Balancing verteilt Ihren eingehenden Datenverkehr automatisch auf mehrere Ziele, z. B. EC2-Instances, Container und IP-Adressen oder eine oder mehrere Availability Zones. Elastic Load Balancing skaliert Ihren Load Balancer, wenn sich der eingehende Datenverkehr im Laufe der Zeit ändert. Es wird empfohlen, mindestens zwei Availability Zones zu konfigurieren, um die Verfügbarkeit von Diensten sicherzustellen, da der Elastic Load Balancer den Traffic in eine andere Availability Zone weiterleiten kann, falls eine nicht verfügbar ist. Durch die Konfiguration mehrerer Availability Zones wird vermieden, dass es für die Anwendung nur einen einzigen Fehlerpunkt gibt. 

### Abhilfe
<a name="elb-13-remediation"></a>

Informationen zum Hinzufügen einer Availability Zone zu einem Application Load Balancer finden Sie unter [Availability Zones for your Application Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html) im *Benutzerhandbuch für Application Load Balancer*. Informationen zum Hinzufügen einer Availability Zone zu einem Network Load Balancer finden Sie unter [Network Load Balancers](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones) im *Benutzerhandbuch für Network Load* Balancer. Informationen zum Hinzufügen einer Availability Zone zu einem Gateway Load Balancer finden [Sie unter Erstellen eines Gateway Load Balancers](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html) im *Benutzerhandbuch für Gateway Load Balancer*. 

## [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden
<a name="elb-14"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/6.2.4

**Kategorie**: Schützen > Datenschutz > Datenintegrität

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `desyncMode`: `defensive, strictest` (nicht anpassbar)

Dieses Steuerelement prüft, ob ein Classic Load Balancer mit einem defensiven oder dem strengsten Desync-Minimierungsmodus konfiguriert ist. Die Steuerung schlägt fehl, wenn der Classic Load Balancer nicht mit dem defensiven Modus oder dem strengsten Modus zur Desynchronisierung konfiguriert ist.

Probleme mit der HTTP-Desynchronisierung können zum Schmuggel von Anfragen führen und Anwendungen anfällig für Queue-Anfragen oder Cache-Poisoning machen. Diese Sicherheitsanfälligkeiten können wiederum zum Entführen von Anmeldeinformationen oder zur Ausführung nicht autorisierter Befehle führen. Classic Load Balancer, die mit dem defensiven Modus oder der striktesten Abschwächung der Desynchronisierung konfiguriert sind, schützen Ihre Anwendung vor Sicherheitsproblemen, die durch HTTP-Desync verursacht werden können. 

### Abhilfe
<a name="elb-14-remediation"></a>

*Informationen zum Aktualisieren des Desync-Mitigationsmodus auf einem Classic Load Balancer finden Sie unter [Ändern des Desync-Mitigationsmodus im Benutzerhandbuch für Classic](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode) Load Balancer.* 

## [ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF
<a name="elb-16"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (21)

**Kategorie:** Schützen > Schutzdienste

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Application Load Balancer einer AWS WAF Classic- oder AWS WAF Web-Zugriffskontrollliste (Web-ACL) zugeordnet ist. Die Steuerung schlägt fehl, wenn das `Enabled` Feld für die AWS WAF Konfiguration auf `false` gesetzt ist.

AWS WAF ist eine Firewall für Webanwendungen, die zum Schutz von Webanwendungen und APIs vor Angriffen beiträgt. Mit AWS WAF können Sie eine Web-ACL konfigurieren, bei der es sich um eine Reihe von Regeln handelt, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Wir empfehlen, Ihren Application Load Balancer mit einer AWS WAF Web-ACL zu verknüpfen, um ihn vor böswilligen Angriffen zu schützen.

### Abhilfe
<a name="elb-16-remediation"></a>

*Informationen zum Zuordnen eines Application Load Balancer zu einer Web-ACL finden Sie unter [Web-ACL mit einer AWS Ressource verknüpfen oder deren Zuordnung aufheben](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html) im Developer Guide.AWS WAF * 

## [ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden
<a name="elb-17"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6)

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancingV2::Listener`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**`sslPolicies`: `ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` (nicht anpassbar)

Dieses Steuerelement prüft, ob der HTTPS-Listener für einen Application Load Balancer oder der TLS-Listener für einen Network Load Balancer so konfiguriert ist, dass Daten während der Übertragung mithilfe einer empfohlenen Sicherheitsrichtlinie verschlüsselt werden. Die Steuerung schlägt fehl, wenn der HTTPS- oder TLS-Listener für einen Load Balancer nicht für die Verwendung einer empfohlenen Sicherheitsrichtlinie konfiguriert ist.

Elastic Load Balancing verwendet eine SSL-Verhandlungskonfiguration, die als *Sicherheitsrichtlinie* bezeichnet wird, um Verbindungen zwischen einem Client und einem Load Balancer auszuhandeln. Die Sicherheitsrichtlinie spezifiziert eine Kombination von Protokollen und Chiffren. Das Protokoll stellt eine sichere Verbindung zwischen einem Client und einem Server her. Eine Chiffre ist ein Verschlüsselungsalgorithmus, der Verschlüsselungsschlüssel verwendet, um eine codierte Nachricht zu erstellen. Während der Verbindungsaushandlung präsentieren der Client und der Load Balancer eine Liste von Verschlüsselungsverfahren und Protokollen, die sie jeweils unterstützen, nach Priorität sortiert. Die Verwendung einer empfohlenen Sicherheitsrichtlinie für einen Load Balancer kann Ihnen helfen, Compliance- und Sicherheitsstandards einzuhalten.

### Abhilfe
<a name="elb-17-remediation"></a>

Informationen zu empfohlenen Sicherheitsrichtlinien und zur Aktualisierung von Listenern finden Sie in den folgenden Abschnitten der *Elastic Load Balancing Balancing-Benutzerhandbücher*: [Sicherheitsrichtlinien für Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html), [Sicherheitsrichtlinien für Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html), [Aktualisieren eines HTTPS-Listeners für Ihren Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html) und [Aktualisieren eines Listeners](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html) für Ihren Network Load Balancer.

## [ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln
<a name="elb-18"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancingV2::Listener`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob der Listener für einen Application Load Balancer oder Network Load Balancer so konfiguriert ist, dass er ein sicheres Protokoll für die Verschlüsselung von Daten während der Übertragung verwendet. Die Steuerung schlägt fehl, wenn ein Application Load Balancer Balancer-Listener nicht für die Verwendung des HTTPS-Protokolls konfiguriert ist oder ein Network Load Balancer Balancer-Listener nicht für die Verwendung des TLS-Protokolls konfiguriert ist.

Um Daten zu verschlüsseln, die zwischen einem Client und einem Load Balancer übertragen werden, sollten die Elastic Load Balancer Balancer-Listener so konfiguriert werden, dass sie branchenübliche Sicherheitsprotokolle verwenden: HTTPS für Application Load Balancers oder TLS für Network Load Balancers. Andernfalls sind Daten, die zwischen einem Client und einem Load Balancer übertragen werden, anfällig für Abfangen, Manipulation und unbefugten Zugriff. Die Verwendung von HTTPS oder TLS durch einen Zuhörer entspricht den bewährten Sicherheitsverfahren und trägt dazu bei, die Vertraulichkeit und Integrität der Daten während der Übertragung zu gewährleisten. Dies ist besonders wichtig für Anwendungen, die vertrauliche Informationen verarbeiten oder Sicherheitsstandards einhalten müssen, die eine Verschlüsselung von Daten bei der Übertragung erfordern.

### Abhilfe
<a name="elb-18-remediation"></a>

Informationen zur Konfiguration von Sicherheitsprotokollen für Listener finden Sie in den folgenden Abschnitten der *Elastic Load Balancing Balancing-Benutzerhandbücher*: [Einen HTTPS-Listener für Ihren Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html) [erstellen und Einen Listener für Ihren Network Load Balancer erstellen](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html).

## [ELB.21] Zielgruppen für Anwendungen und Network Load Balancer sollten verschlüsselte Health Check-Protokolle verwenden
<a name="elb-21"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancingV2::TargetGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement überprüft, ob die Zielgruppe für Integritätsprüfungen von Anwendungen und Network Load Balancer ein verschlüsseltes Transportprotokoll verwendet. Die Steuerung schlägt fehl, wenn das Protokoll zur Integritätsprüfung kein HTTPS verwendet. Dieses Steuerelement gilt nicht für Lambda-Zieltypen.

 Load Balancer senden Anfragen zur Integritätsprüfung an registrierte Ziele, um deren Status zu ermitteln und den Verkehr entsprechend weiterzuleiten. Das in der Zielgruppenkonfiguration angegebene Protokoll zur Integritätsprüfung bestimmt, wie diese Prüfungen durchgeführt werden. Wenn Integritätsprüfungsprotokolle unverschlüsselte Kommunikation wie HTTP verwenden, können die Anfragen und Antworten während der Übertragung abgefangen oder manipuliert werden. Auf diese Weise können Angreifer Einblicke in die Infrastrukturkonfiguration gewinnen, die Ergebnisse von Integritätsprüfungen manipulieren oder man-in-the-middle Angriffe durchführen, die sich auf Routing-Entscheidungen auswirken. Die Verwendung von HTTPS für Integritätsprüfungen ermöglicht eine verschlüsselte Kommunikation zwischen dem Load Balancer und seinen Zielen und schützt so die Integrität und Vertraulichkeit der Gesundheitsstatusinformationen.

### Abhilfe
<a name="elb-21-remediation"></a>

Informationen zur Konfiguration verschlüsselter Zustandsprüfungen für Ihre Application Load Balancer Balancer-Zielgruppe finden Sie unter [Aktualisieren der Health Check-Einstellungen einer Application Load Balancer Balancer-Zielgruppe](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html) im *Elastic Load Balancing Balancer-Benutzerhandbuch*. Informationen zur Konfiguration verschlüsselter Zustandsprüfungen für Ihre Network Load Balancer Balancer-Zielgruppe finden Sie unter [Aktualisieren der Health Check-Einstellungen einer Network Load Balancer Balancer-Zielgruppe](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html) im *Elastic Load Balancing Balancer-Benutzerhandbuch*.

## [ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden
<a name="elb-22"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ElasticLoadBalancingV2::TargetGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Elastic Load Balancing Balancing-Zielgruppe ein verschlüsseltes Transportprotokoll verwendet. Diese Kontrolle gilt nicht für Zielgruppen mit einem Zieltyp von Lambda oder ALB oder Zielgruppen, die das GENEVE-Protokoll verwenden. Die Kontrolle schlägt fehl, wenn die Zielgruppe kein HTTPS-, TLS- oder QUIC-Protokoll verwendet.

 Die Verschlüsselung von Daten während der Übertragung schützt sie vor dem Abfangen durch unbefugte Benutzer. Zielgruppen, die unverschlüsselte Protokolle (HTTP, TCP, UDP) verwenden, übertragen Daten unverschlüsselt und sind somit anfällig für Abhörversuche. Durch die Verwendung verschlüsselter Protokolle (HTTPS, TLS, QUIC) wird sichergestellt, dass die zwischen Load Balancern und Zielen übertragenen Daten geschützt sind.

### Abhilfe
<a name="elb-22-remediation"></a>

Um ein verschlüsseltes Protokoll zu verwenden, müssen Sie eine neue Zielgruppe mit dem HTTPS-, TLS- oder QUIC-Protokoll erstellen. Das Zielgruppenprotokoll kann nach der Erstellung nicht geändert werden. Informationen zur Erstellung einer Application Load Balancer-Zielgruppe finden [Sie unter Erstellen einer Zielgruppe für Ihren Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html) im *Elastic Load Balancing Balancing-Benutzerhandbuch*. Informationen zur Erstellung einer Network Load Balancer-Zielgruppe finden [Sie unter Erstellen einer Zielgruppe für Ihren Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html) im *Elastic Load Balancing Balancing-Benutzerhandbuch*. 

# Security Hub CSPM für Elasticsearch
<a name="es-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Elasticsearch-Service und die Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
<a name="es-1"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Elasticsearch::Domain`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob für Elasticsearch-Domains die Konfiguration „Verschlüsselung im Ruhezustand“ aktiviert ist. Die Prüfung schlägt fehl, wenn die Verschlüsselung im Ruhezustand nicht aktiviert ist.

Für eine zusätzliche Sicherheitsebene für Ihre sensiblen Daten sollten Sie Ihre Daten so konfigurieren OpenSearch, OpenSearch dass sie im Ruhezustand verschlüsselt werden. Elasticsearch-Domains bieten die Verschlüsselung von Daten im Ruhezustand. Die Funktion dient AWS KMS zum Speichern und Verwalten Ihrer Verschlüsselungsschlüssel. Um die Verschlüsselung durchzuführen, verwendet es den Advanced Encryption Standard-Algorithmus mit 256-Bit-Schlüsseln (AES-256).

Weitere Informationen zur OpenSearch Verschlüsselung im Ruhezustand finden Sie unter [Verschlüsselung ruhender Daten für Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) im *Amazon OpenSearch Service Developer Guide*.

Bestimmte Instance-Typen, wie z. B. `t.small` und`t.medium`, unterstützen die Verschlüsselung von Daten im Ruhezustand nicht. Einzelheiten finden Sie unter [Unterstützte Instance-Typen](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html) im *Amazon OpenSearch Service Developer Guide*.

### Abhilfe
<a name="es-1-remediation"></a>

Informationen zur Aktivierung der Verschlüsselung im Ruhezustand für neue und bestehende Elasticsearch-Domains finden Sie unter [Enabling encryption of data at rest](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) im *Amazon OpenSearch Service Developer Guide*.

## [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein
<a name="es-2"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16) NIST.800-53.r5 AC-3, (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen in VPC 

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::Elasticsearch::Domain`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob sich Elasticsearch-Domains in einer VPC befinden. Es bewertet nicht die Konfiguration des VPC-Subnetz-Routings, um den öffentlichen Zugriff zu bestimmen. Sie sollten sicherstellen, dass Elasticsearch-Domains nicht an öffentliche Subnetze angehängt sind. Informationen zu [ressourcenbasierten Richtlinien](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) finden Sie im *Amazon OpenSearch Service Developer Guide*. Sie sollten auch sicherstellen, dass Ihre VPC gemäß den empfohlenen bewährten Methoden konfiguriert ist. [Bewährte Sicherheitsmethoden für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) finden Sie im *Amazon VPC-Benutzerhandbuch*.

Elasticsearch-Domains, die in einer VPC bereitgestellt werden, können über das private AWS Netzwerk mit VPC-Ressourcen kommunizieren, ohne das öffentliche Internet durchqueren zu müssen. Diese Konfiguration erhöht die Sicherheitslage, indem der Zugriff auf die Daten während der Übertragung eingeschränkt wird. VPCs bieten eine Reihe von Netzwerkkontrollen, um den Zugriff auf Elasticsearch-Domains zu sichern, einschließlich Netzwerk-ACL und Sicherheitsgruppen. Security Hub CSPM empfiehlt, öffentliche Elasticsearch-Domains zu migrieren, VPCs um diese Kontrollen nutzen zu können.

### Abhilfe
<a name="es-2-remediation"></a>

Wenn Sie eine Domäne mit einem öffentlichen Endpunkt erstellen, können Sie sie später nicht in einer VPC platzieren. Sie müssen stattdessen eine neue Domäne erstellen und die Daten übernehmen. Umgekehrt gilt dies auch. Wenn Sie eine Domäne innerhalb einer VPC erstellen, kann sie keinen öffentlichen Endpunkt haben. Stattdessen müssen Sie entweder [eine andere Domäne erstellen](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) oder dieses Steuerelement deaktivieren.

Weitere Informationen finden Sie unter [Starten Ihrer Amazon OpenSearch Service-Domains innerhalb einer VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) im *Amazon OpenSearch Service Developer Guide*.

## [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
<a name="es-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1

**Kategorie: Schützen > Datenschutz >** Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Elasticsearch::Domain`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für eine Elasticsearch-Domain die node-to-node Verschlüsselung aktiviert ist. Die Steuerung schlägt fehl, wenn für die Elasticsearch-Domain keine node-to-node Verschlüsselung aktiviert ist. Die Kontrolle führt auch zu fehlgeschlagenen Ergebnissen, wenn eine Elasticsearch-Version keine node-to-node Verschlüsselungsprüfungen unterstützt. 

HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer den Netzwerkverkehr mit oder ähnlichen Angriffen abhören oder manipulieren. person-in-the-middle Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Durch die Aktivierung der node-to-node Verschlüsselung für Elasticsearch-Domains wird sichergestellt, dass die Kommunikation innerhalb des Clusters während der Übertragung verschlüsselt wird.

Mit dieser Konfiguration kann es zu Leistungseinbußen kommen. Sie sollten sich der Leistungseinbußen bewusst sein und diese testen, bevor Sie diese Option aktivieren. 

### Abhilfe
<a name="es-3-remediation"></a>

Informationen zur Aktivierung der node-to-node Verschlüsselung für neue und bestehende Domains finden Sie unter [ node-to-nodeEnabling encryption](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) im *Amazon OpenSearch Service Developer Guide*.

## [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein
<a name="es-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategorie:** Identifizieren - Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Elasticsearch::Domain`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `logtype = 'error'`(nicht anpassbar)

Dieses Steuerelement prüft, ob Elasticsearch-Domains so konfiguriert sind, dass sie CloudWatch Fehlerprotokolle an Logs senden.

Sie sollten Fehlerprotokolle für Elasticsearch-Domains aktivieren und diese CloudWatch Protokolle zur Aufbewahrung und Beantwortung an Logs senden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.

### Abhilfe
<a name="es-4-remediation"></a>

Informationen zur Aktivierung der Protokollveröffentlichung finden Sie unter [Aktivieren der Protokollveröffentlichung (Konsole)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) im *Amazon OpenSearch Service Developer Guide*.

## [ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein
<a name="es-5"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::Elasticsearch::Domain`

**AWS Config Regel:** `elasticsearch-audit-logging-enabled` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**
+ `cloudWatchLogsLogGroupArnList`(nicht anpassbar). Security Hub CSPM füllt diesen Parameter nicht aus. Durch Kommas getrennte Liste von CloudWatch Logs-Protokollgruppen, die für Audit-Logs konfiguriert werden sollten.

  Diese Regel gilt, `NON_COMPLIANT` wenn die CloudWatch Logs-Log-Gruppe der Elasticsearch-Domain in dieser Parameterliste nicht angegeben ist.

Dieses Steuerelement prüft, ob für Elasticsearch-Domains die Audit-Protokollierung aktiviert ist. Diese Kontrolle schlägt fehl, wenn für eine Elasticsearch-Domain die Audit-Protokollierung nicht aktiviert ist. 

Audit-Logs sind hochgradig anpassbar. Sie ermöglichen es Ihnen, Benutzeraktivitäten auf Ihren Elasticsearch-Clustern nachzuverfolgen, einschließlich erfolgreicher und fehlgeschlagener Authentifizierungen OpenSearch, Anfragen an, Indexänderungen und eingehende Suchanfragen.

### Abhilfe
<a name="es-5-remediation"></a>

Ausführliche Anweisungen zur Aktivierung von Audit-Logs finden Sie unter [Aktivieren von Audit-Logs](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) im *Amazon OpenSearch Service Developer Guide*.

## [ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben
<a name="es-6"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Elasticsearch::Domain`

**AWS Config Regel:** `elasticsearch-data-node-fault-tolerance` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob Elasticsearch-Domänen mit mindestens drei Datenknoten konfiguriert sind und `zoneAwarenessEnabled` ist`true`.

Eine Elasticsearch-Domain benötigt aus Gründen der Hochverfügbarkeit und Fehlertoleranz mindestens drei Datenknoten. Die Bereitstellung einer Elasticsearch-Domain mit mindestens drei Datenknoten gewährleistet den Clusterbetrieb, falls ein Knoten ausfällt.

### Abhilfe
<a name="es-6-remediation"></a>

**Um die Anzahl der Datenknoten in einer Elasticsearch-Domain zu ändern**

1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. Wählen Sie unter **Domains** den Namen der Domain aus, die Sie bearbeiten möchten.

1. Wählen Sie **Edit domain (Domäne bearbeiten)**.

1. Stellen Sie unter **Datenknoten** die **Anzahl der Knoten** auf eine Zahl ein, die größer oder gleich ist`3`.

   Legen Sie für Bereitstellungen mit drei Availability Zones den Wert auf ein Vielfaches von drei fest, um eine gleichmäßige Verteilung auf die Availability Zones sicherzustellen.

1. Wählen Sie **Absenden** aus.

## [ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden
<a name="es-7"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Elasticsearch::Domain`

**AWS Config Regel:** `elasticsearch-primary-node-fault-tolerance` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob Elasticsearch-Domänen mit mindestens drei dedizierten Primärknoten konfiguriert sind. Diese Kontrolle schlägt fehl, wenn die Domain keine dedizierten Primärknoten verwendet. Diese Kontrolle gilt als bestanden, wenn Elasticsearch-Domänen über fünf dedizierte Primärknoten verfügen. Die Verwendung von mehr als drei Primärknoten ist jedoch möglicherweise unnötig, um das Verfügbarkeitsrisiko zu minimieren, und führt zu zusätzlichen Kosten.

Für eine Elasticsearch-Domain sind mindestens drei dedizierte Primärknoten erforderlich, um eine hohe Verfügbarkeit und Fehlertoleranz zu gewährleisten. Dedizierte Primärknotenressourcen können bei der blue/green Bereitstellung von Datenknoten belastet werden, da zusätzliche Knoten verwaltet werden müssen. Die Bereitstellung einer Elasticsearch-Domain mit mindestens drei dedizierten Primärknoten gewährleistet eine ausreichende Ressourcenkapazität des Primärknotens und den Clusterbetrieb, falls ein Knoten ausfällt.

### Abhilfe
<a name="es-7-remediation"></a>

**Um die Anzahl der dedizierten Primärknoten in einer OpenSearch Domain zu ändern**

1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. Wählen Sie unter **Domains** den Namen der Domain aus, die Sie bearbeiten möchten.

1. Wählen Sie **Edit domain (Domäne bearbeiten)**.

1. Stellen Sie unter **Dedizierte Masterknoten** den **Instanztyp** auf den gewünschten Instanztyp ein.

1. Stellen Sie **die Anzahl der Master-Knoten** auf drei oder mehr ein.

1. Wählen Sie **Absenden** aus.

## [ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden
<a name="es-8"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Elasticsearch::Domain`

**AWS Config Regel:** `elasticsearch-https-required` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dadurch wird geprüft, ob ein Elasticsearch-Domain-Endpunkt so konfiguriert ist, dass er die neueste TLS-Sicherheitsrichtlinie verwendet. Die Steuerung schlägt fehl, wenn der Elasticsearch-Domänenendpunkt nicht für die Verwendung der neuesten unterstützten Richtlinie konfiguriert ist oder wenn er HTTPs nicht aktiviert ist. Die aktuell neueste unterstützte TLS-Sicherheitsrichtlinie ist`Policy-Min-TLS-1-2-PFS-2023-10`.

HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer person-in-the-middle oder ähnliche Angriffe verwenden, um den Netzwerkverkehr zu belauschen oder zu manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Die Verschlüsselung von Daten während der Übertragung kann die Leistung beeinträchtigen. Sie sollten Ihre Anwendung mit dieser Funktion testen, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen. TLS 1.2 bietet mehrere Sicherheitsverbesserungen gegenüber früheren Versionen von TLS.

### Abhilfe
<a name="es-8-remediation"></a>

Um die TLS-Verschlüsselung zu aktivieren, verwenden Sie den [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API-Vorgang, um das [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)Objekt zu konfigurieren. Dies legt die fest`TLSSecurityPolicy`.

## [ES.9] Elasticsearch-Domains sollten markiert werden
<a name="es-9"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Elasticsearch::Domain`

**AWS Config Regel:** `tagged-elasticsearch-domain` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine Elasticsearch-Domain Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind. `requiredTagKeys` Das Steuerelement schlägt fehl, wenn die Domain keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Domain mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="es-9-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Elasticsearch-Domain finden Sie unter [Arbeiten mit Tags](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) im *Amazon OpenSearch Service Developer Guide*.

# Security Hub CSPM-Steuerelemente für Amazon EMR
<a name="emr-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon EMR (früher Amazon Elastic genannt MapReduce). Die Kontrollen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
<a name="emr-1"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21), (21), (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, (3)) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EMR::Cluster`

**AWS Config Regel: emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Dieses Steuerelement prüft, ob Master-Knoten auf Amazon EMR-Clustern öffentliche IP-Adressen haben. Die Kontrolle schlägt fehl, wenn öffentliche IP-Adressen einer der Master-Node-Instances zugeordnet sind.

Öffentliche IP-Adressen werden im `PublicIp` Feld der `NetworkInterfaces` Konfiguration für die Instanz angegeben. Dieses Steuerelement überprüft nur Amazon EMR-Cluster, die sich im `WAITING` Status `RUNNING` oder befinden.

### Abhilfe
<a name="emr-1-remediation"></a>

Während des Starts können Sie steuern, ob Ihrer Instance in einem standardmäßigen oder einem anderen Subnetz eine öffentliche Adresse zugewiesen wird. IPv4 In Standard-Subnetzen ist dieses Attribut standardmäßig auf gesetzt. `true` Bei nicht standardmäßigen Subnetzen ist das IPv4 öffentliche Adressierungsattribut auf gesetzt`false`, sofern es nicht vom Amazon EC2 Launch Instance Wizard erstellt wurde. In diesem Fall ist das Attribut auf gesetzt. `true`

Nach dem Start können Sie eine öffentliche IPv4 Adresse nicht manuell von Ihrer Instance trennen.

Um ein fehlgeschlagenes Ergebnis zu beheben, müssen Sie einen neuen Cluster in einer VPC mit einem privaten Subnetz starten, für das das IPv4 öffentliche Adressierungsattribut auf gesetzt ist. `false` Anweisungen finden Sie unter [Cluster in einer VPC starten](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) im *Amazon EMR Management Guide*.

## [EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein
<a name="emr-2"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Ressource nicht öffentlich zugänglich

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Diese Kontrolle prüft, ob Ihr Konto mit Amazon EMR konfiguriert ist, um den öffentlichen Zugriff zu blockieren. Die Kontrolle schlägt fehl, wenn die Einstellung „Öffentlichen Zugriff blockieren“ nicht aktiviert ist oder wenn ein anderer Port als Port 22 zulässig ist.

Amazon EMR Block Public Access verhindert, dass Sie einen Cluster in einem öffentlichen Subnetz starten, wenn der Cluster über eine Sicherheitskonfiguration verfügt, die eingehenden Datenverkehr von öffentlichen IP-Adressen an einem Port zulässt. Wenn ein Benutzer von Ihrem AWS-Konto einen Cluster startet, überprüft Amazon EMR die Portregeln in der Sicherheitsgruppe für den Cluster und vergleicht sie mit Ihren Regeln für eingehenden Datenverkehr. Wenn die Sicherheitsgruppe über eine Regel für eingehenden Datenverkehr verfügt, die Ports zu den öffentlichen IP-Adressen IPv4 0.0.0.0/0 oder IPv6 : :/0 öffnet, und diese Ports nicht als Ausnahmen für Ihr Konto angegeben sind, lässt Amazon EMR den Benutzer den Cluster nicht erstellen.

**Anmerkung**  
Den öffentlichen Zugriff blockieren ist standardmäßig aktiviert. Um den Kontoschutz zu erhöhen, empfehlen wir, ihn aktiviert zu lassen.

### Abhilfe
<a name="emr-2-remediation"></a>

Informationen zur Konfiguration von Block Public Access für Amazon EMR finden Sie unter [Using Amazon EMR block public access](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) im *Amazon EMR* Management Guide.

## [EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden
<a name="emr-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CP-9 (8), NIST.800-53.R5 SI-12

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EMR::SecurityConfiguration`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für eine Amazon EMR-Sicherheitskonfiguration die Verschlüsselung im Ruhezustand aktiviert ist. Die Kontrolle schlägt fehl, wenn die Sicherheitskonfiguration die Verschlüsselung im Ruhezustand nicht aktiviert.

Daten im Ruhezustand beziehen sich auf Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch die Verschlüsselung ruhender Daten können Sie deren Vertraulichkeit schützen, wodurch das Risiko verringert wird, dass ein nicht autorisierter Benutzer darauf zugreifen kann.

### Abhilfe
<a name="emr-3-remediation"></a>

Informationen zur Aktivierung der Verschlüsselung im Ruhezustand in einer Amazon EMR-Sicherheitskonfiguration finden [Sie unter Datenverschlüsselung konfigurieren](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) im *Amazon EMR Management Guide*.

## [EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden
<a name="emr-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23)

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EMR::SecurityConfiguration`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob in einer Amazon EMR-Sicherheitskonfiguration die Verschlüsselung bei der Übertragung aktiviert ist. Die Kontrolle schlägt fehl, wenn die Sicherheitskonfiguration die Verschlüsselung bei der Übertragung nicht aktiviert.

Daten bei der Übertragung beziehen sich auf Daten, die von einem Standort an einen anderen übertragen werden, z. B. zwischen Knoten in Ihrem Cluster oder zwischen Ihrem Cluster und Ihrer Anwendung. Daten können über das Internet oder innerhalb eines privaten Netzwerks übertragen werden. Durch die Verschlüsselung von Daten während der Übertragung wird das Risiko verringert, dass ein nicht autorisierter Benutzer den Netzwerkverkehr abhören kann.

### Abhilfe
<a name="emr-4-remediation"></a>

Informationen zur Aktivierung der Verschlüsselung bei der Übertragung in einer Amazon EMR-Sicherheitskonfiguration finden [Sie unter Datenverschlüsselung konfigurieren](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) im *Amazon EMR Management Guide*.

# Security Hub CSPM-Steuerungen für EventBridge
<a name="eventbridge-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den EventBridge Service und die Ressourcen von Amazon.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein
<a name="eventbridge-2"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Events::EventBus`

**AWS Config Regel:** `tagged-events-eventbus` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein EventBridge Amazon-Event-Bus Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredTagKeys`. Die Steuerung schlägt fehl, wenn der Event-Bus keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Event-Bus mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="eventbridge-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EventBridge Event-Bus finden Sie unter [ EventBridge Amazon-Tags](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) im * EventBridge Amazon-Benutzerhandbuch*.

## [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden
<a name="eventbridge-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),,, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/10.3.1

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Ressource nicht öffentlich zugänglich

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Events::EventBus`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob ein EventBridge benutzerdefinierter Amazon Event Bus mit einer ressourcenbasierten Richtlinie verknüpft ist. Diese Steuerung schlägt fehl, wenn dem benutzerdefinierten Event-Bus keine ressourcenbasierte Richtlinie zugewiesen wurde.

Standardmäßig ist an einen EventBridge benutzerdefinierten Ereignisbus keine ressourcenbasierte Richtlinie angehängt. Dadurch können die Principals im Konto auf den Event-Bus zugreifen. Indem Sie eine ressourcenbasierte Richtlinie an den Event-Bus anhängen, können Sie den Zugriff auf den Event-Bus auf bestimmte Konten beschränken und Entitäten in einem anderen Konto bewusst Zugriff gewähren.

### Abhilfe
<a name="eventbridge-3-remediation"></a>

*Informationen zum Anhängen einer ressourcenbasierten Richtlinie an einen EventBridge benutzerdefinierten Event-Bus finden Sie unter [Using Resource Based Policies for Amazon EventBridge im Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html). EventBridge *

## [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
<a name="eventbridge-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Events::Endpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Ereignisreplikation für einen EventBridge globalen Amazon-Endpunkt aktiviert ist. Die Steuerung schlägt fehl, wenn die Ereignisreplikation für einen globalen Endpunkt nicht aktiviert ist.

Globale Endpunkte tragen dazu bei, dass Ihre Anwendung regional fehlertolerant ist. Zunächst weisen Sie dem Endpunkt eine Amazon-Route-53-Zustandsprüfung zu. Wenn ein Failover initiiert wird, meldet die Integritätsprüfung einen „fehlerhaften“ Zustand. Innerhalb weniger Minuten nach der Einleitung des Failovers werden alle benutzerdefinierten Ereignisse an einen Event Bus in der sekundären Region weitergeleitet und von diesem Event Bus verarbeitet. Wenn Sie globale Endpunkte verwenden, können Sie die Ereignisreplikation aktivieren. Bei der Ereignisreplikation werden alle benutzerdefinierten Ereignisse mithilfe verwalteter Regeln an die Event Buses in der primären und sekundären Region gesendet. Wir empfehlen, die Ereignisreplikation bei der Einrichtung globaler Endgeräte zu aktivieren. Mithilfe der Ereignisreplikation können Sie überprüfen, ob Ihre globalen Endpunkte korrekt konfiguriert sind. Für die automatische Wiederherstellung nach einem Failover-Ereignis ist die Ereignisreplikation erforderlich. Wenn Sie die Ereignisreplikation nicht aktiviert haben, müssen Sie die Route 53-Zustandsprüfung manuell auf „Fehlerfrei“ zurücksetzen, bevor Ereignisse zurück in die primäre Region umgeleitet werden.

**Anmerkung**  
Wenn Sie benutzerdefinierte Ereignisbusse verwenden, benötigen Sie in jeder Region einen benutzerdefinierten geraden Bus mit demselben Namen und demselben Konto, damit der Failover ordnungsgemäß funktioniert. Wenn Sie die Ereignisreplikation aktivieren, können sich Ihre monatlichen Kosten erhöhen. Informationen zu den Preisen finden Sie unter [ EventBridge Amazon-Preise](https://aws.amazon.com/eventbridge/pricing/).

### Abhilfe
<a name="eventbridge-4-remediation"></a>

Informationen zum Aktivieren der Ereignisreplikation für EventBridge globale Endgeräte finden [Sie unter Erstellen eines globalen Endpunkts](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint) im * EventBridge Amazon-Benutzerhandbuch*. Wählen Sie für die **Ereignisreplikation** die Option **Ereignisreplikation aktiviert** aus.

# Security Hub CSPM-Steuerungen für Amazon Fraud Detector
<a name="frauddetector-controls"></a>

Diese Security Hub CSPM-Kontrollen bewerten den Service und die Ressourcen von Amazon Fraud Detector.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden
<a name="frauddetector-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::FraudDetector::EntityType`

**AWS Config -Regel: ** `frauddetector-entity-type-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Entitätstyp von Amazon Fraud Detector Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredKeyTags`. Die Kontrolle schlägt fehl, wenn der Entitätstyp keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Entitätstyp mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="frauddetector-1-remediation"></a>

**So fügen Sie Tags zu einem Amazon Fraud Detector Detector-Entitätstyp hinzu (Konsole)**

1. Öffnen Sie die Amazon Fraud Detector Detector-Konsole unter [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/).

1. **Wählen Sie im Navigationsbereich Entitäten aus.**

1. Wählen Sie einen Entitätstyp aus der Liste aus.

1. Wählen Sie im Abschnitt **Entitätstyp-Tags** die Option **Tags verwalten** aus.

1. Wählen Sie **Neues Tag hinzufügen** aus. Geben Sie den Schlüssel und den Wert für den Tags (Markierungen) ein. Wiederholen Sie den Vorgang für weitere Schlüssel-Wert-Paare.

1. Wenn Sie mit dem Hinzufügen der Tags fertig sind, wählen Sie **Speichern**.

## [FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein
<a name="frauddetector-2"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::FraudDetector::Label`

**AWS Config -Regel: ** `frauddetector-label-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Diese Kontrolle prüft, ob ein Amazon Fraud Detector-Label Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredKeyTags`. Die Kontrolle schlägt fehl, wenn das Etikett keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel enthält`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Label mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="frauddetector-2-remediation"></a>

**So fügen Sie Tags zu einem Amazon Fraud Detector-Label hinzu (Konsole)**

1. Öffnen Sie die Amazon Fraud Detector Detector-Konsole unter [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/).

1. **Wählen Sie im Navigationsbereich Labels aus.**

1. Wählen Sie ein Etikett aus der Liste aus.

1. Wählen Sie im Bereich **Label-Tags** die Option **Tags verwalten** aus.

1. Wählen Sie **Neues Tag hinzufügen** aus. Geben Sie den Schlüssel und den Wert für den Tags (Markierungen) ein. Wiederholen Sie den Vorgang für weitere Schlüssel-Wert-Paare.

1. Wenn Sie mit dem Hinzufügen der Tags fertig sind, wählen Sie **Speichern**.

## [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden
<a name="frauddetector-3"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::FraudDetector::Outcome`

**AWS Config -Regel: ** `frauddetector-outcome-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Diese Kontrolle prüft, ob ein Ergebnis von Amazon Fraud Detector Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredKeyTags`. Die Kontrolle schlägt fehl, wenn das Ergebnis keine Tag-Schlüssel enthält oder wenn es nicht alle im Parameter angegebenen Schlüssel enthält`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Ergebnis mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="frauddetector-3-remediation"></a>

**So fügen Sie Tags zu einem Ergebnis von Amazon Fraud Detector hinzu (Konsole)**

1. Öffnen Sie die Amazon Fraud Detector Detector-Konsole unter [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/).

1. **Wählen Sie im Navigationsbereich Outcomes aus.**

1. Wählen Sie ein Ergebnis aus der Liste aus.

1. Wählen Sie im Abschnitt **Ergebnis-Tags** die Option **Tags verwalten** aus.

1. Wählen Sie **Neues Tag hinzufügen** aus. Geben Sie den Schlüssel und den Wert für den Tags (Markierungen) ein. Wiederholen Sie den Vorgang für weitere Schlüssel-Wert-Paare.

1. Wenn Sie mit dem Hinzufügen der Tags fertig sind, wählen Sie **Speichern**.

## [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
<a name="frauddetector-4"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::FraudDetector::Variable`

**AWS Config -Regel: ** `frauddetector-variable-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon Fraud Detector Detector-Variable Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredKeyTags`. Die Steuerung schlägt fehl, wenn die Variable keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Variable mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="frauddetector-4-remediation"></a>

**So fügen Sie Tags zu einer Amazon Fraud Detector Detector-Variablen hinzu (Konsole)**

1. Öffnen Sie die Amazon Fraud Detector Detector-Konsole unter [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/).

1. **Wählen Sie im Navigationsbereich Variablen aus.**

1. Wählen Sie eine Variable aus der Liste aus.

1. Wählen Sie im Bereich **Variablen-Tags** die Option **Tags verwalten** aus.

1. Wählen Sie **Neues Tag hinzufügen** aus. Geben Sie den Schlüssel und den Wert für den Tags (Markierungen) ein. Wiederholen Sie den Vorgang für weitere Schlüssel-Wert-Paare.

1. Wenn Sie mit dem Hinzufügen der Tags fertig sind, wählen Sie **Speichern**.

# Security Hub CSPM-Steuerungen für Amazon FSx
<a name="fsx-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den FSx Service und die Ressourcen von Amazon. Die Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden
<a name="fsx-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

**Kategorie**: Identifizieren > Inventar > Etikettieren

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::FSx::FileSystem`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon FSx for OpenZFS-Dateisystem so konfiguriert ist, dass es Tags auf Backups und Volumes kopiert. Die Kontrolle schlägt fehl, wenn das OpenZFS-Dateisystem nicht so konfiguriert ist, dass es Tags auf Backups und Volumes kopiert.

Die Identifizierung und Inventarisierung Ihrer IT-Ressourcen ist ein wichtiger Aspekt der Unternehmensführung und Sicherheit. Mithilfe von Tags können Sie Ihre AWS Ressourcen auf unterschiedliche Weise kategorisieren, z. B. nach Zweck, Eigentümer oder Umgebung. Dies ist nützlich, wenn Sie über viele Ressourcen desselben Typs verfügen, da Sie eine bestimmte Ressource anhand der Tags, die Sie ihr zugewiesen haben, schnell identifizieren können.

### Abhilfe
<a name="fsx-1-remediation"></a>

Informationen zur Konfiguration eines Dateisystems FSx für OpenZFS zum Kopieren von Tags auf Backups und Volumes finden Sie unter [Aktualisieren eines Dateisystems](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/updating-file-system.html) im *Amazon FSx for OpenZFS-Benutzerhandbuch*.

## [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden
<a name="fsx-2"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 CP-9, NIST.800-53.R5 CM-8

**Kategorie**: Identifizieren > Inventar > Etikettieren

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::FSx::FileSystem`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon FSx for Lustre-Dateisystem so konfiguriert ist, dass es Tags auf Backups und Volumes kopiert. Die Kontrolle schlägt fehl, wenn das Lustre-Dateisystem nicht so konfiguriert ist, dass es Tags auf Backups und Volumes kopiert.

Die Identifizierung und Inventarisierung Ihrer IT-Ressourcen ist ein wichtiger Aspekt der Unternehmensführung und Sicherheit. Mithilfe von Tags können Sie Ihre AWS Ressourcen auf unterschiedliche Weise kategorisieren, z. B. nach Zweck, Eigentümer oder Umgebung. Dies ist nützlich, wenn Sie über viele Ressourcen desselben Typs verfügen, da Sie eine bestimmte Ressource anhand der Tags, die Sie ihr zugewiesen haben, schnell identifizieren können.

### Abhilfe
<a name="fsx-2-remediation"></a>

Informationen zur Konfiguration eines FSx for Lustre-Dateisystems zum Kopieren von Tags in Backups finden Sie unter [Kopieren von Backups innerhalb derselben AWS-Konto](https://docs.aws.amazon.com/fsx/latest/LustreGuide/copying-backups-same-account.html) im *Amazon FSx for Lustre-Benutzerhandbuch*.

## [FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert werden
<a name="fsx-3"></a>

**Kategorie:** Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::FSx::FileSystem`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:** `deploymentTypes: MULTI_AZ_1` (nicht anpassbar)

Dieses Steuerelement prüft, ob ein Amazon FSx for OpenZFS-Dateisystem für die Verwendung des Bereitstellungstyps „Mehrere Availability Zones“ (Multi-AZ) konfiguriert ist. Die Steuerung schlägt fehl, wenn das Dateisystem nicht für die Verwendung des Multi-AZ-Bereitstellungstyps konfiguriert ist.

Amazon FSx für OpenZFS unterstützt mehrere Bereitstellungstypen für Dateisysteme: *Multi-AZ (HA), Single-AZ (HA)* *und *Single-AZ* (Non-HA)*. Die Bereitstellungstypen bieten unterschiedliche Verfügbarkeits- und Haltbarkeitsstufen. Multi-AZ-Dateisysteme (HA) bestehen aus zwei Dateiservern mit hoher Verfügbarkeit (HA), die über zwei Availability Zones (AZs) verteilt sind. Wir empfehlen die Verwendung des Bereitstellungstyps Multi-AZ (HA) für die meisten Produktionsworkloads aufgrund des damit verbundenen Hochverfügbarkeits- und Stabilitätsmodells.

### Abhilfe
<a name="fsx-3-remediation"></a>

Sie können ein Amazon FSx for OpenZFS-Dateisystem so konfigurieren, dass es den Multi-AZ-Bereitstellungstyp verwendet, wenn Sie das Dateisystem erstellen. Sie können den Bereitstellungstyp für ein FSx für OpenZFS vorhandenes Dateisystem nicht ändern.

Informationen zu Bereitstellungstypen und Optionen FSx für OpenZFS-Dateisysteme finden Sie unter [Verfügbarkeit und Haltbarkeit von Amazon FSx für OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/availability-durability.html) und [Verwaltung von Dateisystemressourcen](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html) im *Amazon FSx for* OpenZFS-Benutzerhandbuch.

## [FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert sein
<a name="fsx-4"></a>

**Kategorie:** Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::FSx::FileSystem`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `deploymentTypes`  |  Eine Liste der Bereitstellungstypen, die in die Bewertung einbezogen werden sollen. Das Steuerelement generiert einen `FAILED` Befund, wenn ein Dateisystem nicht für die Verwendung eines in der Liste angegebenen Bereitstellungstyps konfiguriert ist.  |  Enum  |  `MULTI_AZ_1`, `MULTI_AZ_2`  |  `MULTI_AZ_1`, `MULTI_AZ_2`  | 

Diese Kontrolle prüft, ob ein Amazon FSx for NetApp ONTAP-Dateisystem für die Verwendung eines Bereitstellungstyps mit mehreren Availability Zones (Multi-AZ) konfiguriert ist. Die Steuerung schlägt fehl, wenn das Dateisystem nicht für die Verwendung eines Multi-AZ-Bereitstellungstyps konfiguriert ist. Sie können optional eine Liste von Bereitstellungstypen angeben, die in die Bewertung einbezogen werden sollen.

*Amazon FSx for NetApp ONTAP unterstützt mehrere Bereitstellungstypen für Dateisysteme: *Single-AZ 1, Single-AZ* *2*, *Multi-AZ 1 und Multi-AZ* 2.* Die Bereitstellungstypen bieten unterschiedliche Verfügbarkeits- und Haltbarkeitsstufen. Wir empfehlen die Verwendung eines Multi-AZ-Bereitstellungstyps für die meisten Produktionsworkloads, da Multi-AZ-Bereitstellungstypen ein Modell mit hoher Verfügbarkeit und Haltbarkeit bieten. Multi-AZ-Dateisysteme unterstützen alle Verfügbarkeits- und Haltbarkeitsfunktionen von Single-AZ-Dateisystemen. Darüber hinaus sind sie so konzipiert, dass Daten auch dann kontinuierlich verfügbar sind, wenn eine Availability Zone (AZ) nicht verfügbar ist.

### Abhilfe
<a name="fsx-4-remediation"></a>

Sie können den Bereitstellungstyp für ein vorhandenes Amazon FSx for NetApp ONTAP-Dateisystem nicht ändern. Sie können die Daten jedoch sichern und sie dann auf einem neuen Dateisystem wiederherstellen, das einen Multi-AZ-Bereitstellungstyp verwendet.

Informationen zu Bereitstellungstypen und Optionen FSx für ONTAP-Dateisysteme finden Sie unter [Verfügbarkeit, Haltbarkeit und Bereitstellungsoptionen und](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/high-availability-AZ.html) [Verwaltung von Dateisystemen](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-file-systems.html) im *FSx for ONTAP-Benutzerhandbuch*. 

## [FSx.5] FSx für Windows-Dateiserver sollten für die Multi-AZ-Bereitstellung konfiguriert sein
<a name="fsx-5"></a>

**Kategorie:** Wiederherstellen > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::FSx::FileSystem`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:** `deploymentTypes: MULTI_AZ_1` (nicht anpassbar)

Dieses Steuerelement prüft, ob ein Dateisystem von Amazon FSx für Windows File Server so konfiguriert ist, dass es den Bereitstellungstyp Multi-AZ (Multi-AZ) verwendet. Die Steuerung schlägt fehl, wenn das Dateisystem nicht für die Verwendung des Multi-AZ-Bereitstellungstyps konfiguriert ist.

Amazon FSx for Windows File Server unterstützt zwei Bereitstellungstypen für Dateisysteme: *Single-AZ und *Multi-AZ**. Die Bereitstellungstypen bieten unterschiedliche Verfügbarkeits- und Haltbarkeitsstufen. Single-AZ-Dateisysteme bestehen aus einer einzelnen Windows-Dateiserverinstanz und einer Reihe von Speichervolumes innerhalb einer einzigen Availability Zone (AZ). Multi-AZ-Dateisysteme bestehen aus einem Hochverfügbarkeitscluster von Windows-Dateiservern, die auf zwei Availability Zones verteilt sind. Wir empfehlen die Verwendung des Multi-AZ-Bereitstellungstyps für die meisten Produktionsworkloads aufgrund des damit verbundenen Hochverfügbarkeits- und Haltbarkeitsmodells.

### Abhilfe
<a name="fsx-5-remediation"></a>

Sie können ein Dateisystem von Amazon FSx für Windows so konfigurieren, dass es den Multi-AZ-Bereitstellungstyp verwendet, wenn Sie das Dateisystem erstellen. Sie können den Bereitstellungstyp für ein vorhandenes Dateisystem FSx für Windows File Server nicht ändern.

Informationen zu Bereitstellungstypen und Optionen FSx für Windows File Server-Dateisysteme finden Sie unter [Verfügbarkeit und Haltbarkeit: Single-AZ- und Multi-AZ-Dateisysteme](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/high-availability-multiAZ.html) und [Erste Schritte mit Amazon FSx for Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html) im *Amazon FSx for Windows File Server-Benutzerhandbuch*. 

# Security Hub CSPM-Steuerungen für Global Accelerator
<a name="globalaccelerator-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS Global Accelerator Service und die Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein
<a name="globalaccelerator-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::GlobalAccelerator::Accelerator`

**AWS Config Regel:** `tagged-globalaccelerator-accelerator` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein AWS Global Accelerator Accelerator über Tags mit den spezifischen Tasten verfügt, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn der Beschleuniger keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Beschleuniger mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="globalaccelerator-1-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einem Global Accelerator Global Accelerator finden Sie unter [Tagging in AWS Global Accelerator im AWS Global Accelerator Developer](https://docs.aws.amazon.com/global-accelerator/latest/dg/tagging-in-global-accelerator.html) Guide.*

# Security Hub CSPM-Steuerungen für AWS Glue
<a name="glue-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS Glue Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Glue.1] AWS Glue Jobs sollten markiert werden
<a name="glue-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Glue::Job`

**AWS Config Regel:** `tagged-glue-job` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS Glue Job über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn der Job keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Job mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="glue-1-remediation"></a>

Informationen zum Hinzufügen von Stichwörtern zu einem AWS Glue Job finden Sie unter [AWS Stichwörter AWS Glue im AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html) *Benutzerhandbuch*.

## [Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden
<a name="glue-3"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Glue::MLTransform`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Nein

Dieses Steuerelement prüft, ob eine Transformation für AWS Glue maschinelles Lernen im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn die Transformation für maschinelles Lernen im Ruhezustand nicht verschlüsselt ist.

Daten im Ruhezustand beziehen sich auf Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch die Verschlüsselung ruhender Daten können Sie deren Vertraulichkeit schützen, wodurch das Risiko verringert wird, dass ein nicht autorisierter Benutzer darauf zugreifen kann.

### Abhilfe
<a name="glue-3-remediation"></a>

*Informationen zur Konfiguration der Verschlüsselung für AWS Glue Machine-Learning-Transformationen finden Sie unter [Arbeiten mit Transformationen für maschinelles Lernen](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html) im AWS Glue Benutzerhandbuch.*

## [Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue
<a name="glue-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIst.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)

**Kategorie: Identifizieren** > Schwachstellen-, Patch- und Versionsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Glue::Job`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**`minimumSupportedGlueVersion`: `3.0` (nicht anpassbar)

Dieses Steuerelement prüft, ob ein AWS Glue for Spark-Job so konfiguriert ist, dass er auf einer unterstützten Version von ausgeführt wird AWS Glue. Das Steuerelement schlägt fehl, wenn der Spark-Job so konfiguriert ist AWS Glue , dass er auf einer älteren Version als der unterstützten Mindestversion ausgeführt wird.

**Anmerkung**  
Dieses Steuerelement generiert auch einen `FAILED` Befund AWS Glue für einen Spark-Job, wenn die Eigenschaft AWS Glue version (`GlueVersion`) nicht existiert oder im Configuration Item (CI) für den Job Null ist. In solchen Fällen enthält das Ergebnis die folgende Anmerkung:`GlueVersion is null or missing in glueetl job configuration`. Um diese Art von `FAILED` Befund zu beheben, fügen Sie die `GlueVersion` Eigenschaft der Konfiguration des Jobs hinzu. Eine Liste der unterstützten Versionen und Laufzeitumgebungen finden Sie im *AWS Glue Benutzerhandbuch* unter [AWS Glue Versionen](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions).

Das Ausführen von AWS Glue Spark-Jobs auf aktuellen Versionen von AWS Glue kann die Leistung, Sicherheit und den Zugriff auf die neuesten Funktionen von optimieren AWS Glue. Es kann auch zum Schutz vor Sicherheitslücken beitragen. Beispielsweise kann eine neue Version veröffentlicht werden, um Sicherheitsupdates bereitzustellen, Probleme zu beheben oder neue Funktionen einzuführen.

### Abhilfe
<a name="glue-4-remediation"></a>

Informationen zur Migration eines Spark-Jobs zu einer unterstützten Version von AWS Glue finden Sie unter [Migration AWS Glue für Spark-Jobs](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html) im *AWS Glue Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für Amazon GuardDuty
<a name="guardduty-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den GuardDuty Service und die Ressourcen von Amazon. Die Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [GuardDuty.1] GuardDuty sollte aktiviert sein
<a name="guardduty-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (12), (4), 1 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SA-1 1 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (6), 5 (2), NIST.800-53.r5 SA-1 5 (8), (19), (21), (25),, ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 NIst.800-53.R5 SI-20, NIST.800-53.r5 SA-8 NIST.800-53.R5 SI-3 NIST.800-53.r5 SA-8 (8) NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-5 NIst.800-53.R5 SI-4, NIST.800-53.R5 R5 SI-4 NIST.800-53.r5 SC-5 (1), NIST.800-53.R5 SI-4 (13), NIST.800-53.R5 SI-4 (2), NIST.800-53.R5 SI-4 (22), NIST.800-53.R5 SI-4 (25), NIst.800-53.R5 SI-4 (4), NIst.800-53.r5 SI-4 (5), NIst.800-171.r2 3.4.2, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS v3.2.1/11.4 NIST.800-53.r5 SA-8 , PCI DSS v4.0.1/11.5.1

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Diese Kontrolle prüft, ob Amazon in Ihrem GuardDuty Konto und Ihrer Region aktiviert GuardDuty ist.

Es wird dringend empfohlen, die Aktivierung GuardDuty in allen unterstützten AWS Regionen durchzuführen. Auf diese Weise können GuardDuty Sie Erkenntnisse über nicht autorisierte oder ungewöhnliche Aktivitäten gewinnen, auch in Regionen, die Sie nicht aktiv nutzen. Dies ermöglicht auch GuardDuty die Überwachung globaler CloudTrail Ereignisse AWS-Services wie IAM.

### Abhilfe
<a name="guardduty-1-remediation"></a>

Informationen zur Aktivierung GuardDuty finden Sie unter [Erste Schritte mit GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) im * GuardDuty Amazon-Benutzerhandbuch*.

## [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
<a name="guardduty-2"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::GuardDuty::Filter`

**AWS Config Regel:** `tagged-guardduty-filter` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein GuardDuty Amazon-Filter Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredTagKeys`. Das Steuerelement schlägt fehl, wenn der Filter keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Filter mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="guardduty-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem GuardDuty Filter finden Sie [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)in der *Amazon GuardDuty API-Referenz*.

## [GuardDuty.3] GuardDuty IPSets sollte markiert werden
<a name="guardduty-3"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::GuardDuty::IPSet`

**AWS Config Regel:** `tagged-guardduty-ipset` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein Amazon Tags mit den spezifischen Schlüsseln GuardDuty IPSet hat, die im Parameter definiert sind`requiredTagKeys`. Das Steuerelement schlägt fehl, wenn es IPSet keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden IPSet ist, und schlägt fehl, wenn der mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="guardduty-3-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem GuardDuty IPSet finden Sie [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)in der *Amazon GuardDuty API-Referenz*.

## [GuardDuty.4] GuardDuty Detektoren sollten markiert werden
<a name="guardduty-4"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::GuardDuty::Detector`

**AWS Config Regel:** `tagged-guardduty-detector` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Diese Steuerung prüft, ob ein GuardDuty Amazon-Detektor Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredTagKeys`. Die Steuerung schlägt fehl, wenn der Detektor keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft die Steuerung nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Detektor mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="guardduty-4-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem GuardDuty Detektor finden Sie [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)in der *Amazon GuardDuty API-Referenz*.

## [GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
<a name="guardduty-5"></a>

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Hoch

**Ressourcentyp:** `AWS::GuardDuty::Detector`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob GuardDuty EKS Audit Log Monitoring aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn GuardDuty EKS Audit Log Monitoring im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten EKS Audit Log Monitoring nicht aktiviert ist.

In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die EKS-Audit Log Monitoring-Funktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert `FAILED` Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das GuardDuty EKS Audit Log Monitoring nicht aktiviert ist. Um ein `PASSED` Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty

GuardDuty EKS Audit Log Monitoring hilft Ihnen dabei, potenziell verdächtige Aktivitäten in Ihren Amazon Elastic Kubernetes Service (Amazon EKS) -Clustern zu erkennen. EKS Audit Log Monitoring verwendet Kubernetes-Prüfungsprotokolle, um chronologische Aktivitäten von Benutzern, Anwendungen, die die Kubernetes-API verwenden und der Steuerebene zu erfassen.

### Abhilfe
<a name="guardduty-5-remediation"></a>

Informationen zur Aktivierung von GuardDuty EKS Audit Log Monitoring finden Sie unter [EKS Audit Log Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html) im * GuardDuty Amazon-Benutzerhandbuch*.

## [GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
<a name="guardduty-6"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/11.5.1

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::GuardDuty::Detector`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob GuardDuty Lambda Protection aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn GuardDuty Lambda Protection im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten Lambda Protection nicht aktiviert ist.

In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur für das delegierte Administratorkonto. GuardDuty Nur der delegierte Administrator kann die Lambda Protection-Funktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Dieses Steuerelement generiert `FAILED` Ergebnisse, wenn der delegierte GuardDuty Administrator über ein gesperrtes Mitgliedskonto verfügt, für das GuardDuty Lambda Protection nicht aktiviert ist. Um ein `PASSED` Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty

GuardDuty Lambda Protection hilft Ihnen dabei, potenzielle Sicherheitsbedrohungen zu identifizieren, wenn eine AWS Lambda Funktion aufgerufen wird. Nachdem Sie Lambda Protection aktiviert haben, GuardDuty beginnt die Überwachung der Lambda-Netzwerkaktivitätsprotokolle, die mit den Lambda-Funktionen in Ihrem verknüpft sind. AWS-Konto Wenn eine Lambda-Funktion aufgerufen wird und verdächtigen Netzwerkverkehr GuardDuty identifiziert, der auf das Vorhandensein eines potenziell bösartigen Codes in Ihrer Lambda-Funktion hinweist, GuardDuty wird ein Befund generiert. 

### Abhilfe
<a name="guardduty-6-remediation"></a>

Informationen zur Aktivierung von GuardDuty Lambda Protection finden Sie unter [Konfiguration des Lambda-Schutzes](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html) im * GuardDuty Amazon-Benutzerhandbuch*.

## [GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
<a name="guardduty-7"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/11.5.1

**Kategorie: Erkennen > Erkennungsdienste**

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::GuardDuty::Detector`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob GuardDuty EKS Runtime Monitoring mit automatisierter Agentenverwaltung aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn GuardDuty EKS Runtime Monitoring mit automatisierter Agentenverwaltung im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten EKS Runtime Monitoring mit automatisierter Agentenverwaltung nicht aktiviert ist.

In einer Umgebung mit mehreren Konten generiert die Steuerung Ergebnisse nur für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die EKS-Runtime Monitoring-Funktion mit automatisierter Agentenverwaltung für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Dieses Steuerelement generiert `FAILED` Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das GuardDuty EKS Runtime Monitoring nicht aktiviert ist. Um ein `PASSED` Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty

EKS Protection in Amazon GuardDuty bietet Schutz vor Bedrohungserkennung, um Sie beim Schutz von Amazon EKS-Clustern in Ihrer AWS Umgebung zu unterstützen. EKS Runtime Monitoring verwendet Ereignisse auf Betriebssystemebene, um Ihnen zu helfen, potenzielle Bedrohungen in EKS-Knoten und Containern in Ihren EKS-Clustern zu erkennen. 

### Abhilfe
<a name="guardduty-7-remediation"></a>

Informationen zur Aktivierung von EKS Runtime Monitoring mit automatisierter Agentenverwaltung finden Sie unter [ GuardDuty Enabling Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) im * GuardDuty Amazon-Benutzerhandbuch*.

## [GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
<a name="guardduty-8"></a>

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Hoch

**Ressourcentyp:** `AWS::GuardDuty::Detector`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob der GuardDuty Malware-Schutz aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn der GuardDuty Malware-Schutz im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten der Malware-Schutz nicht aktiviert ist.

In einer Umgebung mit mehreren Konten generiert das Steuerelement nur Ergebnisse für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die Malware-Schutzfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert `FAILED` Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das der GuardDuty Malware-Schutz nicht aktiviert ist. Um ein `PASSED` Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty

GuardDuty Malware Protection for EC2 hilft Ihnen dabei, das potenzielle Vorhandensein von Malware zu erkennen, indem es die Amazon Elastic Block Store (Amazon EBS) -Volumes scannt, die an Amazon Elastic Compute Cloud (Amazon EC2) -Instances und Container-Workloads angehängt sind. Malware Protection bietet Scanoptionen, mit denen Sie entscheiden können, ob Sie bestimmte EC2-Instances und Container-Workloads beim Scannen ein- oder ausschließen möchten. Es bietet auch die Möglichkeit, die Snapshots von EBS-Volumes, die an die EC2-Instances oder Container-Workloads angehängt sind, in Ihren Konten aufzubewahren. GuardDuty Die Snapshots werden nur aufbewahrt, wenn Malware gefunden wird und die Erkenntnisse von Malware Protection generiert werden. 

### Abhilfe
<a name="guardduty-8-remediation"></a>

Informationen zur Aktivierung von GuardDuty Malware Protection for EC2 finden Sie unter [Konfiguration des GuardDuty -initiierten Malware-Scans](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html) im * GuardDuty Amazon-Benutzerhandbuch*.

## [GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein
<a name="guardduty-9"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/11.5.1

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::GuardDuty::Detector`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob der GuardDuty RDS-Schutz aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn der GuardDuty RDS-Schutz im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten der RDS-Schutz nicht aktiviert ist.

In einer Umgebung mit mehreren Konten generiert die Kontrolle nur Ergebnisse für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die RDS-Schutzfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert `FAILED` Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das der GuardDuty RDS-Schutz nicht aktiviert ist. Um ein `PASSED` Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty

RDS Protection GuardDuty analysiert und profiliert RDS-Anmeldeaktivitäten im Hinblick auf potenzielle Zugriffsbedrohungen auf Ihre Amazon Aurora Aurora-Datenbanken (Aurora MySQL-kompatible Edition und Aurora PostgreSQL-kompatible Edition). Mit dieses Feature können Sie potenziell verdächtiges Anmeldeverhalten identifizieren. RDS Protection erfordert keine zusätzliche Infrastruktur und ist so konzipiert, dass die Leistung Ihrer Datenbank-Instances nicht beeinträchtigt wird. Wenn RDS Protection einen potenziell verdächtigen oder anomalen Anmeldeversuch erkennt, der auf eine Bedrohung für Ihre Datenbank hindeutet, GuardDuty generiert RDS Protection ein neues Ergebnis mit Details über die potenziell gefährdete Datenbank. 

### Abhilfe
<a name="guardduty-9-remediation"></a>

Informationen zur Aktivierung des GuardDuty RDS-Schutzes finden Sie unter [GuardDuty RDS-Schutz](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) im * GuardDuty Amazon-Benutzerhandbuch*.

## [GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein
<a name="guardduty-10"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/11.5.1

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::GuardDuty::Detector`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob GuardDuty S3 Protection aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn GuardDuty S3 Protection im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten S3 Protection nicht aktiviert ist.

In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die S3-Schutzfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert `FAILED` Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das der GuardDuty S3-Schutz nicht aktiviert ist. Um ein `PASSED` Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty

S3 Protection ermöglicht GuardDuty die Überwachung von API-Vorgängen auf Objektebene, um potenzielle Sicherheitsrisiken für Daten in Ihren Amazon Simple Storage Service (Amazon S3) -Buckets zu identifizieren. GuardDuty überwacht Bedrohungen für Ihre S3-Ressourcen, indem AWS CloudTrail Verwaltungsereignisse und CloudTrail S3-Datenereignisse analysiert werden. 

### Abhilfe
<a name="guardduty-10-remediation"></a>

Informationen zur Aktivierung von GuardDuty S3 Protection finden Sie unter [Amazon S3 Protection GuardDuty in Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) im * GuardDuty Amazon-Benutzerhandbuch*.

## [GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein
<a name="guardduty-11"></a>

**Kategorie:** Erkennen > Erkennungsdienste

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::GuardDuty::Detector`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob Runtime Monitoring in Amazon aktiviert ist GuardDuty. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn GuardDuty Runtime Monitoring für das Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn GuardDuty Runtime Monitoring für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten deaktiviert ist.

In einer Umgebung mit mehreren Konten kann nur der delegierte GuardDuty Administrator GuardDuty Runtime Monitoring für Konten in seiner Organisation aktivieren oder deaktivieren. Darüber hinaus kann nur der GuardDuty Administrator die Security Agents konfigurieren und verwalten, die für die Laufzeitüberwachung von AWS Workloads und Ressourcen für Konten in der Organisation GuardDuty verwendet werden. GuardDuty Mitgliedskonten können Runtime Monitoring nicht für ihre eigenen Konten aktivieren, konfigurieren oder deaktivieren.

GuardDuty Runtime Monitoring beobachtet und analysiert Ereignisse auf Betriebssystemebene, Netzwerk- und Dateiereignisse, um Sie bei der Erkennung potenzieller Bedrohungen in bestimmten AWS Workloads in Ihrer Umgebung zu unterstützen. Es verwendet GuardDuty Security Agents, die Einblick in das Laufzeitverhalten wie Dateizugriff, Prozessausführung, Befehlszeilenargumente und Netzwerkverbindungen bieten. Sie können den Security Agent für jeden Ressourcentyp aktivieren und verwalten, den Sie auf potenzielle Bedrohungen überwachen möchten, z. B. Amazon EKS-Cluster und Amazon EC2 EC2-Instances.

### Abhilfe
<a name="guardduty-11-remediation"></a>

Informationen zur Konfiguration und Aktivierung von GuardDuty Runtime Monitoring finden Sie unter [GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html) and [Enabling GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) im * GuardDuty Amazon-Benutzerhandbuch*.

## [GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein
<a name="guardduty-12"></a>

**Kategorie:** Erkennen > Erkennungsdienste

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::GuardDuty::Detector`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob der Amazon GuardDuty Automated Security Agent für die Laufzeitüberwachung von Amazon ECS-Clustern aktiviert ist AWS Fargate. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn der Security Agent für das Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn der Security Agent für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten deaktiviert ist.

In einer Umgebung mit mehreren Konten generiert diese Kontrolle nur Ergebnisse für das delegierte GuardDuty Administratorkonto. Dies liegt daran, dass nur der delegierte GuardDuty Administrator die Laufzeitüberwachung von ECS-Fargate-Ressourcen für Konten in seiner Organisation aktivieren oder deaktivieren kann. GuardDuty Mitgliedskonten können dies nicht für ihre eigenen Konten tun. Darüber hinaus generiert diese Kontrolle `FAILED` Ergebnisse, wenn sie für ein Mitgliedskonto gesperrt GuardDuty ist und die Laufzeitüberwachung der ECS-Fargate-Ressourcen für das Mitgliedskonto deaktiviert ist. Um einen `PASSED` Befund zu erhalten, muss der GuardDuty Administrator das gesperrte Mitgliedskonto mit dem folgenden Befehl von seinem Administratorkonto trennen. GuardDuty

GuardDuty Runtime Monitoring beobachtet und analysiert Ereignisse auf Betriebssystemebene, Netzwerk- und Dateiereignisse, um Sie bei der Erkennung potenzieller Bedrohungen in bestimmten AWS Workloads in Ihrer Umgebung zu unterstützen. Es verwendet GuardDuty Security Agents, die Einblick in das Laufzeitverhalten wie Dateizugriff, Prozessausführung, Befehlszeilenargumente und Netzwerkverbindungen bieten. Sie können den Security Agent für jeden Ressourcentyp aktivieren und verwalten, den Sie auf potenzielle Bedrohungen hin überwachen möchten. Dazu gehören Amazon ECS-Cluster auf AWS Fargate.

### Abhilfe
<a name="guardduty-12-remediation"></a>

Um den Security Agent für die GuardDuty Laufzeitüberwachung von ECS-Fargate-Ressourcen zu aktivieren und zu verwalten, müssen Sie ihn direkt verwenden. GuardDuty Sie können es nicht manuell für ECS-Fargate-Ressourcen aktivieren oder verwalten. Informationen zur Aktivierung und Verwaltung des Security Agents finden Sie unter [Voraussetzungen für den Support AWS Fargate (nur Amazon ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html) und [Verwaltung des automatisierten Security Agents für AWS Fargate (nur Amazon ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html) im * GuardDuty Amazon-Benutzerhandbuch*.

## [GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein
<a name="guardduty-13"></a>

**Kategorie:** Erkennen > Erkennungsdienste

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::GuardDuty::Detector`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Diese Steuerung prüft, ob der Amazon GuardDuty Automated Security Agent für die Laufzeitüberwachung von Amazon EC2 EC2-Instances aktiviert ist. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn der Security Agent für das Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn der Security Agent für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten deaktiviert ist.

In einer Umgebung mit mehreren Konten generiert diese Kontrolle nur Ergebnisse für das delegierte GuardDuty Administratorkonto. Dies liegt daran, dass nur der delegierte GuardDuty Administrator die Laufzeitüberwachung von Amazon EC2 EC2-Instances für Konten in seiner Organisation aktivieren oder deaktivieren kann. GuardDuty Mitgliedskonten können dies nicht für ihre eigenen Konten tun. Darüber hinaus generiert dieses Steuerelement `FAILED` Ergebnisse, wenn GuardDuty es für ein Mitgliedskonto gesperrt ist und die Laufzeitüberwachung von EC2-Instances für das Mitgliedskonto deaktiviert ist. Um einen `PASSED` Befund zu erhalten, muss der GuardDuty Administrator das gesperrte Mitgliedskonto mit dem folgenden Befehl von seinem Administratorkonto trennen. GuardDuty

GuardDuty Runtime Monitoring beobachtet und analysiert Ereignisse auf Betriebssystemebene, Netzwerk- und Dateiereignisse, um Sie bei der Erkennung potenzieller Bedrohungen in bestimmten AWS Workloads in Ihrer Umgebung zu unterstützen. Es verwendet GuardDuty Security Agents, die Einblick in das Laufzeitverhalten wie Dateizugriff, Prozessausführung, Befehlszeilenargumente und Netzwerkverbindungen bieten. Sie können den Security Agent für jeden Ressourcentyp aktivieren und verwalten, den Sie auf potenzielle Bedrohungen hin überwachen möchten. Dies schließt Amazon EC2 EC2-Instances ein.

### Abhilfe
<a name="guardduty-13-remediation"></a>

Informationen zur Konfiguration und Verwaltung des automatisierten Security Agents für die GuardDuty Laufzeitüberwachung von EC2-Instances finden Sie unter [Voraussetzungen für die Unterstützung von Amazon EC2 EC2-Instances](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html) und [Aktivieren des automatisierten Security Agents für Amazon EC2 EC2-Instances](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html) im * GuardDuty Amazon-Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für AWS Identity and Access Management
<a name="iam-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS Identity and Access Management (IAM-) Dienst und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen
<a name="iam-1"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-2, (7),,, (10) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-3 (3), NIST.800-171.r2 3.1.4 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 PCI DSS v3.2.1/7.2.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::IAM::Policy`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `excludePermissionBoundaryPolicy: true`(nicht anpassbar)

Dieses Steuerelement überprüft, ob die Standardversion der IAM-Richtlinien (auch als vom Kunden verwaltete Richtlinien bezeichnet) Administratorzugriff hat. Dazu wird eine Erklärung mit dem Zusatz „`"Effect": "Allow"`mit `"Action": "*"` über`"Resource": "*"`“ hinzugefügt. Die Kontrolle schlägt fehl, wenn Sie über IAM-Richtlinien mit einer solchen Erklärung verfügen.

Das Steuerelement prüft nur die vom Kunden verwalteten Richtlinien, die Sie erstellen. Inline-Richtlinien und AWS verwaltete Richtlinien werden nicht geprüft.

IAM-Richtlinien definieren eine Reihe von Rechten, die Benutzern, Gruppen oder Rollen gewährt werden. Gemäß den üblichen Sicherheitshinweisen wird AWS empfohlen, die geringsten Rechte zu gewähren, d. h., nur die Berechtigungen zu gewähren, die für die Ausführung einer Aufgabe erforderlich sind. Wenn Sie umfassende administrative Berechtigungen anstelle nur derjenigen bereitstellen, die der Benutzer für seine Tätigkeit benötigt, ermöglichen Sie unter Umständen ungewollte Aktionen mit den Ressourcen.

Anstatt umfassende administrative Berechtigungen zu gewähren, legen Sie fest, was Benutzer tun müssen, und erstellen Sie dann Richtlinien, mit denen die Benutzer nur diese Aufgaben ausführen können. Es ist sicherer, mit einem Mindestsatz von Berechtigungen zu beginnen und bei Bedarf zusätzliche Berechtigungen zu erteilen. Beginnen Sie nicht mit Berechtigungen, die zu weit gefasst sind, und versuchen Sie dann, sie später zu begrenzen.

Sie sollten IAM-Richtlinien entfernen, die eine Erklärung `"Effect": "Allow" ` mit der Aufschrift `"Action": "*"` über `"Resource": "*"` enthalten.

**Anmerkung**  
AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub CSPM verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

### Abhilfe
<a name="iam-1-remediation"></a>

Informationen dazu, wie Sie Ihre IAM-Richtlinien so ändern, dass sie keine vollen „\$1“ -Administratorrechte gewähren, finden Sie unter [Bearbeiten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) im *IAM-Benutzerhandbuch*.

## [IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
<a name="iam-2"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/1.14, CIS Foundations Benchmark v3.0.0/1.15, CIS AWS Foundations Benchmark v1.2.0/1.16,, NIST.800-53.r5 AC-2 (1), (15), (7), (3), NIST.800-171.r2 3.1.1 NIST.800-53.r5 AC-2, NIST.800-171.R2 3.1.2 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.7, NIST.800-53.r5 AC-3 NIST.800-171.r2 3.3.9 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.3.9, NIST.800-171.r2 3.1.7 171.r2 3.13.3, PCI DSS v3.2.1/7.2.1 AWS 

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IAM::User`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Ihren IAM-Benutzern Richtlinien zugeordnet sind. Die Kontrolle schlägt fehl, wenn Ihren IAM-Benutzern Richtlinien zugewiesen sind. Stattdessen müssen IAM-Benutzer Berechtigungen von IAM-Gruppen erben oder eine Rolle übernehmen.

Standardmäßig haben IAM-Benutzer, -Gruppen und -Rollen keinen Zugriff auf Ressourcen. AWS IAM-Richtlinien gewähren Benutzern, Gruppen oder Rollen Rechte. Wir empfehlen, dass Sie IAM-Richtlinien direkt auf Gruppen und Rollen anwenden, jedoch nicht auf Benutzer. Das Zuweisen von Berechtigungen auf Gruppen- oder Rollenebene reduziert die Komplexität bei der Zugriffsverwaltung, wenn die Benutzeranzahl steigt. Eine Reduzierung der Komplexität bei der Zugriffsverwaltung kann wiederum das Risiko mindern, dass ein Prinzipal irrtümlicherweise übermäßige Berechtigungen erhält. 

**Anmerkung**  
AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub CSPM verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie globale Ressourcen nur in einer einzigen Region aufzeichnen, können Sie diese Steuerung in allen Regionen außer der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

### Abhilfe
<a name="iam-2-remediation"></a>

Um dieses Problem zu beheben, [erstellen Sie eine IAM-Gruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html) und hängen Sie die Richtlinie an die Gruppe an. [Fügen Sie dann die Benutzer der Gruppe hinzu](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html). Die Richtlinie gilt für jeden Benutzer in der Gruppe. Informationen zum Entfernen einer direkt mit einem Benutzer verknüpften Richtlinie finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im *IAM-Benutzerhandbuch*.

## [IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
<a name="iam-3"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/1.13, CIS Foundations Benchmark v3.0.0/1.14, CIS AWS Foundations Benchmark v1.4.0/1.14, CIS AWS Foundations Benchmark v1.2.0/1.4, (1), (3), (15), PCI DSS AWS v4.0.1/8.3.9, PCI DSS v4.0.1/8.6.3 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel 

**Art der Ressource:** `AWS::IAM::User`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)

**Art des Zeitplans:** Periodisch

**Parameter:**
+ `maxAccessKeyAge`: `90` (nicht anpassbar)

Dieses Steuerelement prüft, ob die aktiven Zugriffsschlüssel innerhalb von 90 Tagen rotiert werden.

Wir empfehlen Ihnen dringend, nicht alle Zugriffsschlüssel in Ihrem Konto zu generieren und zu entfernen. Stattdessen empfiehlt es sich, entweder eine oder mehrere IAM-Rollen zu erstellen oder den [Verbund](https://aws.amazon.com/identity/federation/) über AWS IAM Identity Center zu verwenden. Sie können diese Methoden verwenden, um Ihren Benutzern den Zugriff auf AWS-Managementkonsole und AWS CLI zu ermöglichen.

Jeder Ansatz hat seine Anwendungsfälle. Ein Verbund eignet sich im Allgemeinen besser für Unternehmen, die über ein vorhandenes zentrales Verzeichnis verfügen oder planen, mehr als die aktuelle Anzahl an IAM-Benutzern zu benötigen. Anwendungen, die außerhalb einer AWS Umgebung ausgeführt werden, benötigen Zugriffstasten für den programmatischen Zugriff AWS auf Ressourcen.

Wenn die Ressourcen, die programmatischen Zugriff benötigen, jedoch intern ausgeführt werden AWS, empfiehlt es sich, IAM-Rollen zu verwenden. Rollen ermöglichen es Ihnen, einer Ressource Zugriff zu gewähren, ohne eine Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel in die Konfiguration zu integrieren.

Weitere Informationen zum Schutz Ihrer Zugriffsschlüssel und Ihres Kontos finden Sie unter [Bewährte Methoden für die Verwaltung von AWS Zugriffsschlüsseln](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) in der. *Allgemeine AWS-Referenz* Lesen Sie auch den Blogbeitrag [Richtlinien für Ihren Schutz AWS-Konto bei der Verwendung von programmatischem Zugriff](https://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/).

Wenn Sie bereits über einen Zugriffsschlüssel verfügen, empfiehlt Security Hub CSPM, die Zugriffsschlüssel alle 90 Tage zu wechseln. Das Rotieren von Zugriffsschlüsseln reduziert die Gefahr, dass ein Zugriffsschlüssel eines kompromittierten oder gesperrten Kontos verwendet werden kann. Außerdem wird sichergestellt, dass mit einem alten Schlüssel, der möglicherweise verloren gegangen ist, geknackt bzw. gestohlen wurde, nicht auf Daten zugegriffen werden kann. Aktualisieren Sie Ihre Anwendungen immer, nachdem Sie Zugriffsschlüssel rotiert haben. 

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel. Sie werden verwendet, um programmatische Anfragen zu signieren, die Sie stellen. AWS Benutzer benötigen ihre eigenen Zugriffstasten AWS CLI, um programmgesteuerte Aufrufe AWS über die Tools für Windows PowerShell oder direkte HTTP-Aufrufe mithilfe der AWS SDKs API-Operationen für einzelne Benutzer zu tätigen. AWS-Services

Wenn Ihre Organisation AWS IAM Identity Center (IAM Identity Center) verwendet, können sich Ihre Benutzer bei Active Directory, einem integrierten IAM Identity Center-Verzeichnis oder einem [anderen Identitätsanbieter (IdP) anmelden, der mit IAM Identity Center verbunden](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) ist. Sie können dann einer IAM-Rolle zugeordnet werden, die es ihnen ermöglicht, AWS CLI Befehle auszuführen oder AWS API-Operationen aufzurufen, ohne dass Zugriffsschlüssel erforderlich sind. Weitere Informationen finden Sie im *AWS Command Line Interface Benutzerhandbuch* [unter Konfiguration der AWS CLI zu AWS IAM Identity Center verwendenden](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html).

**Anmerkung**  
AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub CSPM verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

### Abhilfe
<a name="iam-3-remediation"></a>

Informationen zur Rotation von Zugriffsschlüsseln, die älter als 90 Tage sind, finden Sie unter [Rotieren von Zugriffsschlüsseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) im *IAM-Benutzerhandbuch*. Folgen Sie den Anweisungen für alle Benutzer, deren **Zugriffsschlüssel älter** als 90 Tage ist.

## [IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren
<a name="iam-4"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/1.3, CIS AWS Foundations Benchmark v3.0.0/1.4, CIS AWS Foundations Benchmark v1.4.0/1.4, CIS AWS Foundations Benchmark v1.2.0/1.12, PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (15), (7), (10 NIST.800-53.r5 AC-2), (2) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Kritisch 

**Ressourcentyp:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob der Root-Benutzerzugriffsschlüssel vorhanden ist. 

Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS-Konto. AWS Zugriffstasten ermöglichen den programmatischen Zugriff auf ein bestimmtes Konto.

Security Hub CSPM empfiehlt, dass Sie alle Zugriffsschlüssel entfernen, die dem Root-Benutzer zugeordnet sind. Dies schränkt die Vektoren ein, die verwendet werden können, um Ihr Konto zu gefährden. Darüber hinaus fördert es die Erstellung und Verwendung rollenbasierter Konten nach dem Prinzip der minimalen Rechte. 

### Abhilfe
<a name="iam-4-remediation"></a>

Informationen zum Löschen des Root-Benutzerzugriffsschlüssels finden Sie unter [Löschen von Zugriffsschlüsseln für den Root-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_delete-key) im *IAM-Benutzerhandbuch*. Informationen zum Löschen der Root-Benutzerzugriffsschlüssel aus einem AWS-Konto IN AWS GovCloud (US) finden Sie unter [Löschen der Root-Benutzerzugriffsschlüssel für mein AWS GovCloud (US) Konto](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-account-root-user.html#delete-govcloud-root-access-key) im *AWS GovCloud (US) Benutzerhandbuch*.

## [IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen
<a name="iam-5"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/1.9, CIS AWS Foundations Benchmark v3.0.0/1.10, CIS AWS Foundations Benchmark v1.4.0/1.10, CIS AWS Foundations Benchmark v1.2.0/1.2, NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 (1), NIST.800-53.r5 IA-2 (15), NIST.800-53.r5 IA-2 (1), NIST.800-53.r5 IA-2 (2), (6), NIST.800-53.r5 IA-2 (8), PCI DSS v4.0.1/8.4.2

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::IAM::User`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob die AWS Multi-Faktor-Authentifizierung (MFA) für alle IAM-Benutzer aktiviert ist, die ein Konsolenkennwort verwenden.

Multi-Factor Authentication (MFA) bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Wenn MFA aktiviert ist, wird ein Benutzer, wenn er sich AWS auf einer Website anmeldet, nach seinem Benutzernamen und Passwort gefragt. Darüber hinaus werden sie von ihrem AWS MFA-Gerät zur Eingabe eines Authentifizierungscodes aufgefordert.

Es wird empfohlen, MFA für alle Konten zu aktivieren, die über ein Konsolenpasswort verfügen. MFA wurde entwickelt, um mehr Sicherheit für den Konsolenzugriff zu bieten. Der authentifizierende Prinzipal muss über ein Gerät verfügen, das einen zeitkritischen Schlüssel ausgibt und Kenntnisse über Anmeldeinformationen haben muss.

**Anmerkung**  
AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub CSPM verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

### Abhilfe
<a name="iam-5-remediation"></a>

*Informationen zum Hinzufügen von MFA für IAM-Benutzer finden Sie unter [Verwenden der Multi-Faktor-Authentifizierung (MFA) AWS im](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) IAM-Benutzerhandbuch.*

## [IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.
<a name="iam-6"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/1.5, CIS AWS Foundations Benchmark v3.0.0/1.6, CIS AWS Foundations Benchmark v1.4.0/1.6, CIS AWS Foundations Benchmark v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 IA-2 (1), NIST.800-53.r5 IA-2 (2), (6), NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 (8), PCI DSS v4.0.1/8.4.2

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement überprüft, ob Sie AWS-Konto für die Verwendung eines Hardware-Geräts mit Multi-Faktor-Authentifizierung (MFA) aktiviert sind, um sich mit Root-Benutzeranmeldedaten anzumelden. Die Steuerung schlägt fehl, wenn Hardware-MFA nicht aktiviert ist oder virtuelle MFA-Geräte sich mit Root-Benutzeranmeldedaten anmelden dürfen.

Eine virtuelle MFA bietet möglicherweise nicht das gleiche Sicherheitsniveau wie ein Hardware-MFA-Gerät. Wir empfehlen, dass Sie ein virtuelles MFA-Gerät nur verwenden, solange Sie auf die Genehmigung des Hardwarekaufs oder auf das Eintreffen Ihrer Hardware warten. Weitere Informationen finden Sie unter [Zuweisen eines virtuellen MFA-Geräts (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Security Hub CSPM bewertet diese Kontrolle anhand des Vorhandenseins von Root-Benutzeranmeldeinformationen (Anmeldeprofil) in einem. AWS-Konto Die Kontrolle generiert `PASSED` Ergebnisse in den folgenden Fällen:  
Root-Benutzeranmeldeinformationen sind im Konto vorhanden und Hardware-MFA ist für den Root-Benutzer aktiviert.
Root-Benutzeranmeldedaten sind im Konto nicht vorhanden.
Das Steuerelement generiert einen `FAILED` Befund, wenn Root-Benutzeranmeldedaten im Konto vorhanden sind und Hardware-MFA für den Root-Benutzer nicht aktiviert ist.

### Abhilfe
<a name="iam-6-remediation"></a>

Informationen zur Aktivierung von Hardware-MFA für den Root-Benutzer finden Sie unter [Multi-Faktor-Authentifizierung für an Root-Benutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) im *IAM-Benutzerhandbuch*.

## [IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
<a name="iam-7"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2 (15), (1), NIST.800-53.r5 AC-3 NIST.800-171.R2 3.5.2, NIST.800-53.r5 IA-5 NIST.800-171.R2 3.5.7, NIST.800-171.R2 3.5.8, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.7, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.9 0,1/8,6,3

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `RequireUppercaseCharacters`  |  Das Passwort muss mindestens einen Großbuchstaben enthalten  |  Boolesch  |  `true` oder `false`  |  `true`  | 
|  `RequireLowercaseCharacters`  |  Das Passwort muss mindestens einen Kleinbuchstaben enthalten  |  Boolesch  |  `true` oder `false`  |  `true`  | 
|  `RequireSymbols`  |  Das Passwort muss mindestens ein Symbol enthalten  |  Boolesch  |  `true` oder `false`  |  `true`  | 
|  `RequireNumbers`  |  Das Passwort muss mindestens eine Zahl enthalten  |  Boolesch  |  `true` oder `false`  |  `true`  | 
|  `MinimumPasswordLength`  |  Mindestanzahl von Zeichen im Passwort  |  Ganzzahl  |  `8` auf `128`  |  `8`  | 
|  `PasswordReusePrevention`  |  Anzahl der Passwortrotationen, bevor ein altes Passwort wiederverwendet werden kann  |  Ganzzahl  |  `12` auf `24`  |  Kein Standardwert  | 
|  `MaxPasswordAge`  |  Anzahl der Tage bis zum Ablauf des Passworts  |  Ganzzahl  |  `1` auf `90`  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob die Kontopasswortrichtlinie für IAM-Benutzer starke Konfigurationen verwendet. Die Steuerung schlägt fehl, wenn die Kennwortrichtlinie keine starken Konfigurationen verwendet. Sofern Sie keine benutzerdefinierten Parameterwerte angeben, verwendet Security Hub CSPM die in der vorherigen Tabelle genannten Standardwerte. Die `MaxPasswordAge` Parameter `PasswordReusePrevention` und haben keinen Standardwert. Wenn Sie diese Parameter ausschließen, ignoriert Security Hub CSPM bei der Auswertung dieser Steuerung die Anzahl der Kennwortrotationen und das Kennwortalter.

Für den Zugriff auf benötigen AWS-Managementkonsole IAM-Benutzer Passwörter. Als bewährte Methode empfiehlt Security Hub CSPM dringend, anstelle der Erstellung von IAM-Benutzern den Verbund zu verwenden. Mit dem Verbund können sich Benutzer mit ihren vorhandenen Unternehmensanmeldeinformationen bei der anmelden. AWS-Managementkonsole Verwenden Sie AWS IAM Identity Center (IAM Identity Center), um den Benutzer zu erstellen oder zu verbinden, und übernehmen Sie dann eine IAM-Rolle für ein Konto.

Weitere Informationen zu Identitätsanbietern und Verbund finden Sie unter [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) im *IAM-Benutzerhandbuch*. Weitere Informationen zu IAM Identity Center finden Sie im [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).

 Wenn Sie IAM-Benutzer verwenden müssen, empfiehlt Security Hub CSPM, die Erstellung sicherer Benutzerkennwörter zu erzwingen. Sie können auf Ihrem Computer eine Passwortrichtlinie einrichten, AWS-Konto um die Komplexitätsanforderungen und die obligatorischen Rotationsperioden für Passwörter festzulegen. Wenn Sie eine Kennwortrichtlinie erstellen oder ändern, werden die meisten Einstellungen der Kennwortrichtlinie durchgesetzt, wenn Benutzer ihre Passwörter das nächste Mal ändern. Einige Einstellungen werden sofort durchgesetzt.

### Abhilfe
<a name="iam-7-remediation"></a>

Informationen zur Aktualisierung Ihrer Kennwortrichtlinie finden Sie unter [Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) im *IAM-Benutzerhandbuch*.

## [IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
<a name="iam-8"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/1.3,, NIST.800-53.r5 AC-2 (1), (3) NIST.800-53.r5 AC-2, (15), NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-2 NIST.800-171.R2 3.1.2 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 PCI DSS v3.2.1/8.1.4 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.2.6

**Kategorie:** Schutz > Sichere Zugriffsverwaltung 

**Schweregrad:** Mittel 

**Art der Ressource:** `AWS::IAM::User`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:**
+ `maxCredentialUsageAge`: `90` (nicht anpassbar)

Dieses Steuerelement prüft, ob Ihre IAM-Benutzer über Passwörter oder aktive Zugriffsschlüssel verfügen, die seit 90 Tagen nicht verwendet wurden.

IAM-Benutzer können mit verschiedenen Arten von Anmeldeinformationen wie Passwörtern oder Zugriffsschlüsseln auf AWS Ressourcen zugreifen. 

Security Hub CSPM empfiehlt, alle Anmeldeinformationen zu entfernen oder zu deaktivieren, die 90 Tage oder länger nicht verwendet wurden. Durch das Deaktivieren oder Entfernen unnötiger Anmeldeinformationen reduzieren Sie den möglichen Schaden, der mit den Anmeldeinformationen eines kompromittierten oder ungenutzten Kontos angerichtet werden kann.

**Anmerkung**  
AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub CSPM verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

### Abhilfe
<a name="iam-8-remediation"></a>

Wenn Sie Benutzerinformationen in der IAM-Konsole anzeigen, gibt es Spalten für das Alter des **Zugriffsschlüssels, das Alter** **des Kennworts** und die **letzte Aktivität**. Wenn der Wert in einer dieser Spalten mehr als 90 Tage beträgt, sollten Sie die Anmeldeinformationen für diese Benutzer deaktivieren.

Sie können auch [Berichte mit Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) verwenden, um Benutzer zu überwachen und Benutzer zu identifizieren, die 90 oder mehr Tage lang keine Aktivität mehr hatten. Sie können Berichte über Anmeldeinformationen im `.csv` Format von der IAM-Konsole herunterladen.

Nachdem Sie die inaktiven Konten oder ungenutzten Anmeldeinformationen identifiziert haben, deaktivieren Sie sie. *Anweisungen finden Sie im IAM-Benutzerhandbuch unter [Erstellen, Ändern oder Löschen eines IAM-Benutzerkennworts (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console).*

## [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein
<a name="iam-9"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/1.4, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, CIS AWS Foundations Benchmark v3.0.0/1.5, CIS Foundations Benchmark v1.4.0/1.5, CIS AWS Foundations Benchmark v1.2.0/1.13, (1), (15), NIST.800-53.r5 AC-2 (1), (2), NIST.800-53.r5 AC-3 (6), NIST.800-53.r5 IA-2 (8) AWS NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Kategorie:** Schutz > Sichere Zugriffsverwaltung 

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Multi-Faktor-Authentifizierung (MFA) aktiviert ist, damit sich der IAM-Root-Benutzer eines bei AWS-Konto dem anmelden kann. AWS-Managementkonsole Die Steuerung schlägt fehl, wenn MFA für den Root-Benutzer des Kontos nicht aktiviert ist.

Der IAM-Root-Benutzer von AWS-Konto hat vollständigen Zugriff auf alle Dienste und Ressourcen im Konto. Wenn MFA aktiviert ist, muss der Benutzer einen Benutzernamen, ein Passwort und einen Authentifizierungscode von seinem AWS MFA-Gerät eingeben, um sich bei dem anzumelden. AWS-Managementkonsole MFA fügt zusätzlich zu einem Benutzernamen und einem Passwort eine zusätzliche Schutzebene hinzu.

Diese Kontrolle generiert `PASSED` Ergebnisse in den folgenden Fällen:
+ Root-Benutzeranmeldeinformationen sind im Konto vorhanden und MFA ist für den Root-Benutzer aktiviert.
+ Root-Benutzeranmeldedaten sind im Konto nicht vorhanden.

Das Steuerelement generiert `FAILED` Ergebnisse, wenn Root-Benutzeranmeldedaten im Konto vorhanden sind und MFA für den Root-Benutzer nicht aktiviert ist.

### Abhilfe
<a name="iam-9-remediation"></a>

Informationen zur Aktivierung von MFA für den Root-Benutzer eines AWS-Konto finden Sie unter [Multi-Faktor-Authentifizierung für den Root-Benutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) im *AWS Identity and Access Management Benutzerhandbuch*.

## [IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
<a name="iam-10"></a>

**Verwandte Anforderungen:** NIST.800-171.R2 3.5.2, NIST.800-171.R2 3.5.7, NIST.800-171.r2 3.5.8, PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5

**Kategorie:** Schutz > Sichere Zugriffsverwaltung 

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Kontopasswortrichtlinie für IAM-Benutzer die folgenden PCI-DSS-Mindestkonfigurationen verwendet.
+ `RequireUppercaseCharacters`— Das Passwort muss mindestens einen Großbuchstaben enthalten. (Standardwert = `true`)
+ `RequireLowercaseCharacters`— Das Passwort muss mindestens einen Kleinbuchstaben enthalten. (Standardwert = `true`)
+ `RequireNumbers`— Erfordert mindestens eine Zahl im Passwort. (Standardwert = `true`)
+ `MinimumPasswordLength`— Mindestlänge des Passworts. (Standard = 7 oder länger)
+ `PasswordReusePrevention`— Anzahl der Passwörter vor der Wiederverwendung. (Standard = 4)
+ `MaxPasswordAge`— Anzahl der Tage bis zum Ablauf des Passworts. (Standard = 90)

**Anmerkung**  
Am 30. Mai 2025 entfernte Security Hub CSPM diese Steuerung aus dem PCI DSS v4.0.1-Standard. PCI DSS v4.0.1 verlangt jetzt, dass Passwörter mindestens 8 Zeichen lang sind. Diese Steuerung gilt weiterhin für den Standard PCI DSS v3.2.1, für den andere Kennwortanforderungen gelten.  
[Um die Kennwortrichtlinien für Konten anhand der Anforderungen von PCI DSS v4.0.1 zu bewerten, können Sie das IAM.7-Steuerelement verwenden.](#iam-7) Für dieses Steuerelement müssen Kennwörter mindestens 8 Zeichen lang sein. Es unterstützt auch benutzerdefinierte Werte für die Passwortlänge und andere Parameter. Die IAM.7-Steuerung ist Teil des PCI DSS v4.0.1-Standards in Security Hub CSPM.

### Abhilfe
<a name="iam-10-remediation"></a>

*Informationen zur Aktualisierung Ihrer Kennwortrichtlinie zur Verwendung der empfohlenen Konfiguration finden Sie unter [Einrichten einer Kontokennwortrichtlinie für](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) IAM-Benutzer im IAM-Benutzerhandbuch.*

## [IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert
<a name="iam-11"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/1.5, NIST.800-171.R2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Kategorie:** Schutz > Sichere Zugriffsverwaltung 

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Passwortrichtlinien erzwingen zum Teil Anforderungen in Zusammenhang mit der Passwortkomplexität. Verwenden Sie IAM-Passwortrichtlinien, um sicherzustellen, dass Passwörter unterschiedliche Zeichensätze verwenden.

CIS empfiehlt, dass die Kennwortrichtlinie mindestens einen Großbuchstaben erfordert. Die Festlegung einer Richtlinie für die Passwortkomplexität steigert die Widerstandskraft eines Kontos gegen Brute-Force-Anmeldeversuche.

### Abhilfe
<a name="iam-11-remediation"></a>

Informationen zum Ändern Ihrer Kennwortrichtlinie finden Sie unter [Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) im *IAM-Benutzerhandbuch*. Wählen Sie unter **Passwortstärke** die Option **Mindestens einen Großbuchstaben des lateinischen Alphabets erforderlich (A—Z) aus**.

## [IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert
<a name="iam-12"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/1.6, NIST.800-171.R2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Kategorie:** Schutz > Sichere Zugriffsverwaltung 

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Passwortrichtlinien erzwingen zum Teil Anforderungen in Zusammenhang mit der Passwortkomplexität. Verwenden Sie IAM-Passwortrichtlinien, um sicherzustellen, dass Passwörter unterschiedliche Zeichensätze verwenden. CIS empfiehlt, dass die Kennwortrichtlinie mindestens einen Kleinbuchstaben erfordert. Die Festlegung einer Richtlinie für die Passwortkomplexität steigert die Widerstandskraft eines Kontos gegen Brute-Force-Anmeldeversuche.

### Abhilfe
<a name="iam-12-remediation"></a>

Informationen zum Ändern Ihrer Kennwortrichtlinie finden Sie unter [Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) im *IAM-Benutzerhandbuch*. Wählen Sie unter **Passwortstärke** die Option **Mindestens einen Kleinbuchstaben aus dem lateinischen Alphabet erforderlich (A—Z) aus**.

## [IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist
<a name="iam-13"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/1.7, NIST.800-171.R2 3.5.7

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Passwortrichtlinien erzwingen zum Teil Anforderungen in Zusammenhang mit der Passwortkomplexität. Verwenden Sie IAM-Passwortrichtlinien, um sicherzustellen, dass Passwörter unterschiedliche Zeichensätze verwenden.

CIS empfiehlt, dass für die Kennwortrichtlinie mindestens ein Symbol erforderlich ist. Die Festlegung einer Richtlinie für die Passwortkomplexität steigert die Widerstandskraft eines Kontos gegen Brute-Force-Anmeldeversuche.

### Abhilfe
<a name="iam-13-remediation"></a>

Informationen zum Ändern Ihrer Kennwortrichtlinie finden Sie unter [Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) im *IAM-Benutzerhandbuch*. Wählen Sie unter **Passwortstärke** die Option **Mindestens ein nichtalphanumerisches Zeichen erforderlich** aus.

## [IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert
<a name="iam-14"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/1.8, NIST.800-171.R2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Passwortrichtlinien erzwingen zum Teil Anforderungen in Zusammenhang mit der Passwortkomplexität. Verwenden Sie IAM-Passwortrichtlinien, um sicherzustellen, dass Passwörter unterschiedliche Zeichensätze verwenden.

CIS empfiehlt, dass die Kennwortrichtlinie mindestens eine Zahl erfordert. Die Festlegung einer Richtlinie für die Passwortkomplexität steigert die Widerstandskraft eines Kontos gegen Brute-Force-Anmeldeversuche.

### Abhilfe
<a name="iam-14-remediation"></a>

Informationen zum Ändern Ihrer Kennwortrichtlinie finden Sie unter [Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) im *IAM-Benutzerhandbuch*. Wählen Sie unter **Passwortstärke** die Option **Mindestens eine Zahl erforderlich** aus.

## [IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert
<a name="iam-15"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/1.7, CIS Foundations Benchmark v3.0.0/1.8, CIS Foundations Benchmark v1.4.0/1.8, CIS AWS Foundations Benchmark v1.2.0/1.9, NIST.800-171.R2 3.5.7 AWS AWS 

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Passwortrichtlinien erzwingen zum Teil Anforderungen in Zusammenhang mit der Passwortkomplexität. Verwenden Sie IAM-Passwortrichtlinien, um sicherzustellen, dass Passwörter mindestens eine bestimmte Länge haben.

CIS empfiehlt, dass die Kennwortrichtlinie eine Mindestkennwortlänge von 14 Zeichen vorschreibt. Die Festlegung einer Richtlinie für die Passwortkomplexität steigert die Widerstandskraft eines Kontos gegen Brute-Force-Anmeldeversuche.

### Abhilfe
<a name="iam-15-remediation"></a>

Informationen zum Ändern Ihrer Passwortrichtlinie finden Sie unter [Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) im *IAM-Benutzerhandbuch*. Geben Sie für die **Mindestlänge des Kennworts** eine **14** oder eine größere Zahl ein.

## [IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert
<a name="iam-16"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/1.8, CIS Foundations Benchmark v3.0.0/1.9, CIS Foundations Benchmark v1.4.0/1.9, CIS AWS Foundations Benchmark v1.2.0/1.10, NIST.800-171.r2 3.5.8, PCI AWS DSS v4.0.1/8.3.7 AWS 

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement überprüft, ob die Anzahl der Passwörter, die Sie sich merken müssen, auf 24 gesetzt ist. Die Steuerung schlägt fehl, wenn der Wert nicht 24 ist.

IAM-Passwortrichtlinien können die Wiederverwendung eines bestimmten Passworts durch denselben Benutzer verhindern.

CIS empfiehlt, dass die Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert. Das Verhindern der Wiederverwendung von Passwörtern steigert die Widerstandskraft eines Kontos gegen Brute-Force-Anmeldeversuche.

### Abhilfe
<a name="iam-16-remediation"></a>

Informationen zum Ändern Ihrer Kennwortrichtlinie finden Sie unter [Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) im *IAM-Benutzerhandbuch*. Geben Sie für „**Wiederverwendung von Passwörtern verhindern**“ ein. **24**

## [IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft
<a name="iam-17"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/1.11, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

IAM-Passwortrichtlinien können vorschreiben, dass Passwörter nach einer bestimmten Anzahl von Tagen ausgetauscht werden oder abgelaufen sind.

CIS empfiehlt, dass die Kennwortrichtlinie Passwörter nach 90 Tagen oder weniger abläuft. Das Reduzieren der Lebensdauer von Passwörtern steigert die Widerstandskraft eines Kontos gegen Brute-Force-Anmeldeversuche. Darüber hinaus ist es in folgenden Situationen hilfreich, wenn regelmäßige Passwortänderungen gefordert werden:
+ Passwörter können ohne Ihr Wissen gestohlen oder kompromittiert werden. Dies kann durch eine Systemkompromittierung, eine Softwareschwachstelle oder eine interne Bedrohung erfolgen.
+ Bestimmte Web-Filter oder Proxy-Server von Unternehmen und Behörden können Datenverkehr abfangen und erfassen, selbst wenn er verschlüsselt ist.
+ Viele Menschen verwenden dasselbe Passwort für viele Systeme, z. B. für die Arbeit, E-Mails und den privaten Gebrauch.
+ Auf kompromittierten Endbenutzer-Workstations kann ein Keylogger vorhanden sein.

### Abhilfe
<a name="iam-17-remediation"></a>

Informationen zum Ändern Ihrer Kennwortrichtlinie finden Sie unter [Einrichten einer Kontokennwortrichtlinie für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) im *IAM-Benutzerhandbuch*. Geben **Sie für „Ablauf des Kennworts aktivieren**“ eine kleinere **90** Zahl oder ein.

## [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support
<a name="iam-18"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/1.16, CIS Foundations Benchmark v3.0.0/1.17, CIS Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20, NIST.800-171.R2 3.1.2, PCI DSS AWS v4.0.1/12.10.3 AWS 

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)

**Art des Zeitplans:** Periodisch

**Parameter:**
+ `policyARN`: `arn:partition:iam::aws:policy/AWSSupportAccess` (nicht anpassbar)
+ `policyUsageType`: `ANY` (nicht anpassbar)

AWS bietet ein Support-Center, das für die Benachrichtigung und Reaktion auf Vorfälle sowie für technischen Support und Kundendienst genutzt werden kann.

Erstellen Sie eine IAM-Rolle, damit autorisierte Benutzer Vorfälle mit AWS Support verwalten können. Durch die Implementierung von Least-Privilegien für die Zugriffskontrolle erfordert eine IAM-Rolle eine entsprechende IAM-Richtlinie, die den Zugriff auf das Supportcenter ermöglicht, damit Vorfälle bearbeitet werden können. Support

**Anmerkung**  
AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub CSPM verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

### Abhilfe
<a name="iam-18-remediation"></a>

Um dieses Problem zu beheben, erstellen Sie eine Rolle, die es autorisierten Benutzern ermöglicht, Support Vorfälle zu verwalten.

**Um die Rolle zu erstellen, die für Support den Zugriff verwendet werden soll**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im IAM-Navigationsbereich **Rollen** und anschließend **Rolle erstellen** aus.

1. Wählen Sie **als Rollentyp** die Option **Andere AWS-Konto** aus.

1. Geben Sie **unter Konto-ID** die AWS-Konto ID der AWS-Konto Person ein, der Sie Zugriff auf Ihre Ressourcen gewähren möchten.

   Wenn sich die Benutzer oder Gruppen, die diese Rolle übernehmen, im selben Konto befinden, geben Sie die lokale Kontonummer ein.
**Anmerkung**  
Der Administrator des angegebenen Kontos kann die Berechtigung erteilen, diese Rolle für alle -Benutzer in diesem Konto zu übernehmen. Hierzu fügt der Administrator eine Richtlinie an den Benutzer oder eine Gruppe an, mit der die Berechtigung für die Aktion `sts:AssumeRole` gewährt wird. In dieser Richtlinie muss die Ressource der Rollen-ARN sein.

1. Wählen Sie **Weiter: Berechtigungen** aus.

1. Suchen Sie nach der verwalteten Richtlinie `AWSSupportAccess`.

1. Wählen Sie das Kontrollkästchen für die verwaltete `AWSSupportAccess`-Richtlinie aus.

1. Wählen Sie **Weiter: Tags** aus.

1. (Optional) Um der Rolle Metadaten hinzuzufügen, fügen Sie Tags als Schlüssel-Wert-Paare hinzu.

   Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Tagging von IAM-Benutzern und -Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.

1. Klicken Sie auf **Next: Review** (Weiter: Prüfen).

1. Geben Sie unter **Role name (Rollenname)** einen Namen für Ihre Rolle ein.

   Rollennamen müssen innerhalb Ihrer eindeutig sein. AWS-Konto Sie unterscheiden nicht zwischen Groß- und Kleinschreibung.

1. (Optional) Geben Sie im Feld **Role description (Rollenbeschreibung)** eine Beschreibung für die neue Rolle ein.

1. Prüfen Sie die Rolle und klicken Sie dann auf **Create role (Rolle erstellen)**.

## [IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein
<a name="iam-19"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 (1), NIST.800-53.r5 IA-2 (2), (6), NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 (8), NIST.800-53.r5 IA-2 NIST.800-171.R2 3.3.8, NIST.800-171.R2 3.5.3, NIST.800-171.r2 3.5.4, NIST.800-171.r2 3.7.5, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, 

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::IAM::User`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob die IAM-Benutzer die Multi-Faktor-Authentifizierung (MFA) aktiviert haben.

**Anmerkung**  
AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub CSPM verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

### Abhilfe
<a name="iam-19-remediation"></a>

Informationen zum Hinzufügen von MFA für IAM-Benutzer finden Sie unter [Aktivieren von MFA-Geräten für Benutzer AWS im](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html) *IAM-Benutzerhandbuch*.

## [IAM.20] Vermeiden Sie die Verwendung des Root-Benutzers
<a name="iam-20"></a>

**Wichtig**  
Security Hub CSPM hat diese Kontrolle im April 2024 eingestellt. Weitere Informationen finden Sie unter [Änderungsprotokoll für Security Hub CSPM-Steuerelemente](controls-change-log.md).

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/1.1

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IAM::User`

**AWS Config Regel:** `use-of-root-account-test` (benutzerdefinierte Security Hub CSPM-Regel)

**Art des Zeitplans: Periodisch**

**Parameter:** Keine

Dieses Steuerelement prüft, ob für an AWS-Konto Beschränkungen für die Nutzung des Root-Benutzers gelten. Das Steuerelement bewertet die folgenden Ressourcen:
+ Amazon Simple Notification Service (Amazon SNS)-Themen
+ AWS CloudTrail Wanderwege
+ Mit den CloudTrail Pfaden verknüpfte metrische Filter
+  CloudWatch Amazon-Alarme basierend auf den Filtern

Bei dieser Prüfung wird `FAILED` festgestellt, ob eine oder mehrere der folgenden Aussagen zutreffen:
+ Auf dem Konto sind keine CloudTrail Spuren vorhanden.
+ Ein CloudTrail Trail ist aktiviert, aber nicht mit mindestens einem Trail für mehrere Regionen konfiguriert, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst.
+ Ein CloudTrail Trail ist aktiviert, aber keiner CloudWatch Logs-Protokollgruppe zugeordnet.
+ Der vom Center for Internet Security (CIS) vorgeschriebene exakte metrische Filter wird nicht verwendet. Der vorgeschriebene metrische Filter ist`'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'`.
+ In dem Konto sind keine CloudWatch Alarme vorhanden, die auf dem metrischen Filter basieren.
+ CloudWatch Alarme, die so konfiguriert sind, dass sie Benachrichtigungen an das zugehörige SNS-Thema senden, werden nicht aufgrund der Alarmbedingung ausgelöst.
+ Das SNS-Thema entspricht nicht den [Einschränkungen für das Senden einer Nachricht an ein SNS-Thema](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html).
+ Das SNS-Thema hat nicht mindestens einen Abonnenten.

Diese Prüfung führt zu einem Kontrollstatus, der `NO_DATA` angibt, ob eine oder mehrere der folgenden Aussagen zutreffen:
+ Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub CSPM kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
+ Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub CSPM kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

Diese Prüfung führt zu einem Kontrollstatus, der angibt`WARNING`, ob eine oder mehrere der folgenden Aussagen zutreffen:
+ Das aktuelle Konto ist nicht Eigentümer des SNS-Themas, auf das in der CloudWatch Warnung verwiesen wird.
+ Das Girokonto hat beim Aufrufen der SNS-API keinen Zugriff auf das SNS-Thema. `ListSubscriptionsByTopic`

**Anmerkung**  
Wir empfehlen, Organization Trails zu verwenden, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO\$1DATA für Kontrollen, die in den Konten von Organisationsmitgliedern ausgewertet wurden. In Mitgliedskonten generiert Security Hub CSPM nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-CSPM-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Es hat sich bewährt, Ihre Root-Benutzeranmeldedaten nur dann zu verwenden, wenn dies für die [Konto- und Serviceverwaltung erforderlich](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html) ist. Wenden Sie IAM-Richtlinien direkt auf Gruppen und Rollen an, jedoch nicht auf Benutzer. *Anweisungen zur Einrichtung eines Administrators für den täglichen Gebrauch finden Sie im [IAM-Benutzerhandbuch unter Erstellen Ihres ersten IAM-Admin-Benutzers und Ihrer ersten Gruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html).*

### Abhilfe
<a name="iam-20-remediation"></a>

Zu den Schritten zur Behebung dieses Problems gehören die Einrichtung eines Amazon SNS SNS-Themas, eines CloudTrail Trails, eines Metrikfilters und eines Alarms für den Metrikfilter.

**Erstellen eines Amazon SNS-Themas**

1. Öffnen Sie die Amazon SNS SNS-Konsole unter [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home).

1. Erstellen Sie ein Amazon SNS SNS-Thema, das alle CIS-Alarme empfängt.

   Erstellen Sie mindestens einen Abonnenten für das Thema. Weitere Informationen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) im *Benutzerhandbuch für Amazon Simple Notification Service*.

Richten Sie als Nächstes eine aktive Option ein CloudTrail , die für alle Regionen gilt. Um dies zu tun, befolgen Sie die Schritte in [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1).

Notieren Sie sich den Namen der Protokollgruppe CloudWatch Logs, die Sie dem CloudTrail Trail zuordnen. Sie erstellen den Metrikfilter für diese Protokollgruppe.

Erstellen Sie abschließend den metrischen Filter und den Alarm.

**Erstellen eines Metrikfilters und Alarms**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich **Protokollgruppen** aus.

1. Aktivieren Sie das Kontrollkästchen für die Protokollgruppe CloudWatch Logs, die dem von Ihnen erstellten CloudTrail Trail zugeordnet ist.

1. Wählen Sie **unter Aktionen** die Option **Metrikfilter erstellen** aus.

1. Gehen **Sie unter Muster definieren** wie folgt vor:

   1. Kopieren Sie das folgende Muster und fügen Sie es dann in das Feld **Filter Pattern (Filtermuster)** ein.

      ```
      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
      ```

   1. Wählen Sie **Weiter** aus.

1. Gehen **Sie unter Metrik zuweisen** wie folgt vor:

   1. Geben Sie im Feld **Filtername** einen Namen für Ihren Metrikfilter ein.

   1. Geben **LogMetrics** Sie für **Metric Namespace** den Wert ein.

      Wenn Sie denselben Namespace für alle Ihre CIS-Log-Metrikfilter verwenden, werden alle CIS-Benchmark-Metriken zusammen gruppiert.

   1. Geben Sie **unter Metrikname** einen Namen für die Metrik ein. Merken Sie sich den Namen der Metrik. Sie müssen die Metrik auswählen, wenn Sie den Alarm erstellen.

   1. Geben Sie für **Metric value (Metrikwert)** **1** ein.

   1. Wählen Sie **Weiter** aus.

1. **Überprüfen Sie unter Überprüfen und erstellen** die Informationen, die Sie für den neuen Metrikfilter angegeben haben. Wählen Sie dann **Metrikfilter erstellen** aus.

1. Wählen Sie im Navigationsbereich **Protokollgruppen** und dann den Filter aus, den Sie unter **Metrikfilter** erstellt haben.

1. Aktivieren Sie das Kontrollkästchen für den Filter. Wählen Sie **Alarm erstellen** aus.

1. Gehen **Sie unter Metrik und Bedingungen angeben** wie folgt vor:

   1. Wählen Sie unter **Bedingungen** für **Schwellenwert** die Option **Statisch** aus.

   1. Wählen Sie **unter Alarmbedingung definieren die** Option **Größer/Gleich aus.**

   1. Geben Sie unter **Schwellenwert definieren den Wert** ein. **1**

   1. Wählen Sie **Weiter** aus.

1. Gehen **Sie unter Aktionen konfigurieren** wie folgt vor:

   1. Wählen Sie unter **Auslöser für den Alarmstatus** die Option **Bei Alarm** aus.

   1. Wählen Sie unter **Select an SNS topic (SNS-Thema auswählen)** die Option **Select an existing SNS topic (Vorhandenes SNS-Thema auswählen)** aus.

   1. Geben **Sie unter Benachrichtigung senden an** den Namen des SNS-Themas ein, das Sie im vorherigen Verfahren erstellt haben.

   1. Wählen Sie **Weiter** aus.

1. Geben **Sie unter Namen und Beschreibung hinzufügen** einen **Namen** und eine **Beschreibung** für den Alarm ein, z. B. **CIS-1.1-RootAccountUsage** Klicken Sie anschließend auf **Weiter**.

1. Überprüfen Sie unter **Vorschau und Erstellung** die Alarmkonfiguration. Wählen Sie anschließend **Create alarm (Alarm erstellen)** aus.

## [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen
<a name="iam-21"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), (15), (7) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (10), NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 NIST.800-171.R2 3.1.1, NIST.800-53.r5 AC-6 NIST.800-171.R2 3.1.2, NIST.800-171.r2 3.1.5, NIST.800-171.R2 3.1.7, NIST.800-171.r2 3.3.8, NIST.800-171.r2 3.3.9, NIST.800-171.r2 3.3.9, NIST.800-171.r2 3.3.8 171.R2 3.13.3, NIST.800-171.R2 3.13.4

**Kategorie:** Erkennen > Sicheres Zugriffsmanagement 

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IAM::Policy`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `excludePermissionBoundaryPolicy`: `True` (nicht anpassbar)

Dieses Steuerelement prüft, ob die identitätsbasierten IAM-Richtlinien, die Sie erstellen, über Allow-Anweisungen verfügen, die den Platzhalter „\$1“ verwenden, um Berechtigungen für alle Aktionen in einem Dienst zu gewähren. Das Steuerelement schlägt fehl, wenn eine Richtlinienanweisung mit enthält. `"Effect": "Allow"` `"Action": "Service:*"` 

Beispielsweise führt die folgende Aussage in einer Richtlinie zu einem fehlgeschlagenen Ergebnis.

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}
```

Das Steuerelement schlägt auch fehl, wenn Sie `"Effect": "Allow"` mit verwenden`"NotAction": "service:*"`. In diesem Fall bietet das `NotAction` Element Zugriff auf alle Aktionen in einem AWS-Service, mit Ausnahme der in angegebenen Aktionen`NotAction`.

Diese Kontrolle gilt nur für vom Kunden verwaltete IAM-Richtlinien. Sie gilt nicht für IAM-Richtlinien, die von verwaltet werden. AWS

Wenn Sie Berechtigungen zuweisen AWS-Services, ist es wichtig, dass Sie den Umfang der zulässigen IAM-Aktionen in Ihren IAM-Richtlinien angeben. Sie sollten IAM-Aktionen nur auf die Aktionen beschränken, die benötigt werden. Auf diese Weise können Sie Berechtigungen mit den geringsten Rechten bereitstellen. Zu freizügige Richtlinien können zu einer Eskalation von Rechten führen, wenn die Richtlinien einem IAM-Prinzipal zugeordnet sind, für den die Genehmigung möglicherweise nicht erforderlich ist.

In einigen Fällen möchten Sie möglicherweise IAM-Aktionen zulassen, die ein ähnliches Präfix haben, z. B. und. `DescribeFlowLogs` `DescribeAvailabilityZones` In diesen autorisierten Fällen können Sie dem allgemeinen Präfix einen Platzhalter mit einem Suffix hinzufügen. Beispiel, `ec2:Describe*`.

Dieses Steuerelement ist erfolgreich, wenn Sie eine IAM-Aktion mit einem Präfix und einem Platzhalter mit Suffix verwenden. Beispielsweise führt die folgende Anweisung in einer Richtlinie zu einem erfolgreichen Ergebnis.

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}
```

Wenn Sie verwandte IAM-Aktionen auf diese Weise gruppieren, können Sie auch verhindern, dass die Größenbeschränkungen der IAM-Richtlinie überschritten werden.

**Anmerkung**  
AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub CSPM verwenden. Die globale Ressourcenaufzeichnung kann jedoch in einer einzigen Region aktiviert werden. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

### Abhilfe
<a name="iam-21-remediation"></a>

Um dieses Problem zu beheben, aktualisieren Sie Ihre IAM-Richtlinien, sodass sie keine vollen „\$1“ -Administratorrechte zulassen. *Einzelheiten zur Bearbeitung einer IAM-Richtlinie finden Sie unter [Bearbeiten von IAM-Richtlinien im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).*

## [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
<a name="iam-22"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/1.11, CIS Foundations Benchmark v3.0.0/1.12, CIS AWS Foundations Benchmark v1.4.0/1.12, NIST.800-171.R2 3.1.2 AWS 

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::IAM::User`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)**

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob Ihre IAM-Benutzer über Passwörter oder aktive Zugriffsschlüssel verfügen, die 45 Tage oder länger nicht verwendet wurden. Zu diesem Zweck wird geprüft, ob der `maxCredentialUsageAge` Parameter der AWS Config Regel 45 oder mehr beträgt.

Benutzer können mit verschiedenen Arten von Anmeldeinformationen wie Kennwörtern oder Zugriffsschlüsseln auf AWS Ressourcen zugreifen.

CIS empfiehlt, alle Anmeldeinformationen zu entfernen oder zu deaktivieren, die 45 Tage oder länger nicht verwendet wurden. Durch das Deaktivieren oder Entfernen unnötiger Anmeldeinformationen reduzieren Sie den möglichen Schaden, der mit den Anmeldeinformationen eines kompromittierten oder ungenutzten Kontos angerichtet werden kann.

Die AWS Config Regel für dieses Steuerelement verwendet die Operationen [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)API, die nur alle vier Stunden aktualisiert werden. Es kann bis zu vier Stunden dauern, bis Änderungen an IAM-Benutzern für dieses Steuerelement sichtbar sind.

**Anmerkung**  
AWS Config sollte in allen Regionen aktiviert sein, in denen Sie Security Hub CSPM verwenden. Sie können jedoch die Aufzeichnung globaler Ressourcen in einer einzigen Region aktivieren. Wenn Sie nur globale Ressourcen in einer einzelnen Region erfassen, können Sie diese Kontrolle in allen Regionen mit Ausnahme der Region deaktivieren, in der Sie globale Ressourcen aufzeichnen.

### Abhilfe
<a name="iam-22-remediation"></a>

Wenn Sie Benutzerinformationen in der IAM-Konsole anzeigen, gibt es Spalten für das Alter des **Zugriffsschlüssels, das Alter** **des Kennworts** und die **letzte Aktivität**. Wenn der Wert in einer dieser Spalten mehr als 45 Tage beträgt, deaktivieren Sie die Anmeldeinformationen für diese Benutzer.

Sie können auch [Berichte über Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) verwenden, um Benutzer zu überwachen und Benutzer zu identifizieren, die 45 oder mehr Tage lang keine Aktivität hatten. Sie können Berichte über Anmeldeinformationen im `.csv` Format von der IAM-Konsole herunterladen.

Nachdem Sie die inaktiven Konten oder ungenutzten Anmeldeinformationen identifiziert haben, deaktivieren Sie sie. *Anweisungen finden Sie im IAM-Benutzerhandbuch unter [Erstellen, Ändern oder Löschen eines IAM-Benutzerkennworts (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console).*

## [IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden
<a name="iam-23"></a>

**Kategorie: Identifizieren > Inventar > Tagging**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::AccessAnalyzer::Analyzer`

**AWS Config Regel:** `tagged-accessanalyzer-analyzer` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein von AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) verwalteter Analyzer über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter definiert sind. `requiredTagKeys` Das Steuerelement schlägt fehl, wenn der Analyzer keine Tagschlüssel hat oder wenn er nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Analyzer mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="iam-23-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Analyzer finden Sie [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html)in der *AWS IAM Access Analyzer API-Referenz*.

## [IAM.24] IAM-Rollen sollten mit Tags versehen werden
<a name="iam-24"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IAM::Role`

**AWS Config Regel:** `tagged-iam-role` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine AWS Identity and Access Management (IAM-) Rolle Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind. `requiredTagKeys` Das Steuerelement schlägt fehl, wenn die Rolle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Rolle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="iam-24-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einer IAM-Rolle finden Sie unter [Tagging IAM-Ressourcen im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html).*

## [IAM.25] IAM-Benutzer sollten markiert werden
<a name="iam-25"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IAM::User`

**AWS Config Regel:** `tagged-iam-user` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein AWS Identity and Access Management (IAM-) Benutzer über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter definiert sind. `requiredTagKeys` Das Steuerelement schlägt fehl, wenn der Benutzer keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Benutzer mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="iam-25-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einem IAM-Benutzer finden Sie unter [Tagging IAM-Ressourcen im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html).*

## [IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
<a name="iam-26"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/1.18, CIS Foundations Benchmark v3.0.0/1.19 AWS 

Kategorie: Identifizieren > Einhaltung von **Vorschriften**

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::IAM::ServerCertificate`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html)**

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Mit dieser Steuerung wird geprüft, ob ein aktives SSL/TLS Serverzertifikat, das in IAM verwaltet wird, abgelaufen ist. Die Kontrolle schlägt fehl, wenn das abgelaufene SSL/TLS Serverzertifikat nicht entfernt wird.

Um HTTPS-Verbindungen zu Ihrer Website oder Anwendung in zu aktivieren AWS, benötigen Sie ein SSL/TLS Serverzertifikat. Sie können IAM oder AWS Certificate Manager (ACM) verwenden, um Serverzertifikate zu speichern und bereitzustellen. Verwenden Sie IAM nur dann als Zertifikatsmanager, wenn Sie HTTPS-Verbindungen in einer Umgebung unterstützen müssen AWS-Region , die von ACM nicht unterstützt wird. IAM bietet eine sichere Verschlüsselungsmethode für Ihre privaten Schlüssel und speichert die verschlüsselte Version in einem SSL-Zertifikatspeicher in IAM. IAM unterstützt die Bereitstellung von Serverzertifikaten in allen Regionen, Sie müssen Ihr Zertifikat jedoch von einem externen Anbieter beziehen, damit Sie es verwenden können. AWS Sie können kein ACM-Zertifikat auf IAM hochladen. Darüber hinaus können Sie Ihre Zertifikate nicht von der IAM-Konsole aus verwalten. Durch das Entfernen abgelaufener SSL/TLS Zertifikate wird das Risiko vermieden, dass versehentlich ein ungültiges Zertifikat für eine Ressource bereitgestellt wird, wodurch die Glaubwürdigkeit der zugrunde liegenden Anwendung oder Website beeinträchtigt werden kann.

### Abhilfe
<a name="iam-26-remediation"></a>

Informationen zum Entfernen eines Serverzertifikats aus IAM finden Sie unter [Verwalten von Serverzertifikaten in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) im *IAM-Benutzerhandbuch*.

## [IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess
<a name="iam-27"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/1.21, CIS Foundations Benchmark v3.0.0/1.22 AWS 

**Kategorie: Schützen > Sichere Zugriffsverwaltung > Sichere IAM-Richtlinien**

**Schweregrad:** Mittel

**Ressourcentyp:**`AWS::IAM::Role`,, `AWS::IAM::User` `AWS::IAM::Group`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html)**

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ „policyArns“: „arn:aws:iam: :aws:“ policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess

Dieses Steuerelement prüft, ob eine IAM-Identität (Benutzer, Rolle oder Gruppe) mit der verwalteten Richtlinie verknüpft ist. AWS `AWSCloudShellFullAccess` Die Steuerung schlägt fehl, wenn die `AWSCloudShellFullAccess` Richtlinie an eine IAM-Identität angehängt ist.

AWS CloudShell bietet eine bequeme Möglichkeit, CLI-Befehle auszuführen AWS-Services. Die AWS verwaltete Richtlinie `AWSCloudShellFullAccess` bietet vollen Zugriff CloudShell auf und ermöglicht somit das Hoch- und Herunterladen von Dateien zwischen dem lokalen System eines Benutzers und der CloudShell Umgebung. Innerhalb der CloudShell Umgebung verfügt ein Benutzer über Sudo-Berechtigungen und kann auf das Internet zugreifen. Das Anhängen dieser verwalteten Richtlinie an eine IAM-Identität gibt ihnen somit die Möglichkeit, Dateiübertragungssoftware zu installieren und Daten von externen Internetservern CloudShell zu verschieben. Wir empfehlen, dem Prinzip der geringsten Rechte zu folgen und Ihren IAM-Identitäten engere Berechtigungen zuzuweisen.

### Abhilfe
<a name="iam-27-remediation"></a>

*Informationen zum Trennen der `AWSCloudShellFullAccess` Richtlinie von einer IAM-Identität finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).*

## [IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein
<a name="iam-28"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/1.19, CIS Foundations Benchmark v3.0.0/1.20 AWS 

**Kategorie: Erkennen > Erkennungsdienste > Überwachung privilegierter Nutzung**

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::AccessAnalyzer::Analyzer`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html)**

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob AWS-Konto ein externer Zugriffsanalysator für IAM Access Analyzer aktiviert ist. Die Steuerung schlägt fehl, wenn für das Konto in Ihrem aktuell ausgewählten AWS-Region Konto kein External Access Analyzer aktiviert ist.

Die externen Zugriffsanalysatoren von IAM Access Analyzer helfen dabei, Ressourcen wie Amazon Simple Storage Service (Amazon S3) -Buckets oder IAM-Rollen zu identifizieren, die mit einer externen Entität gemeinsam genutzt werden. Auf diese Weise können Sie einen unbeabsichtigten Zugriff auf Ihre Ressourcen und Daten vermeiden. IAM Access Analyzer ist regional und muss in jeder Region aktiviert sein. Um Ressourcen zu identifizieren, die gemeinsam mit externen Principals genutzt werden, analysiert ein Access Analyzer die ressourcenbasierten Richtlinien in Ihrer Umgebung anhand von logischen Argumenten. AWS Wenn Sie einen externen Zugriffsanalysator erstellen, können Sie ihn für Ihr gesamtes Unternehmen oder für einzelne Konten erstellen und aktivieren.

**Anmerkung**  
Wenn ein Konto Teil einer Organisation in ist AWS Organizations, werden externe Zugriffsanalysatoren, die die Organisation als Vertrauenszone angeben und für die Organisation in der aktuellen Region aktiviert sind, bei dieser Steuerung nicht berücksichtigt. Wenn Ihre Organisation diese Art von Konfiguration verwendet, sollten Sie erwägen, diese Steuerung für einzelne Mitgliedskonten in Ihrer Organisation in der Region zu deaktivieren.

### Abhilfe
<a name="iam-28-remediation"></a>

Informationen zur Aktivierung eines externen Access Analyzers in einer bestimmten Region finden Sie unter [Erste Schritte mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html) im *IAM-Benutzerhandbuch*. Sie müssen in jeder Region, in der Sie den Zugriff auf Ihre Ressourcen überwachen möchten, einen Analyzer aktivieren.

# Security Hub CSPM-Steuerungen für Amazon Inspector
<a name="inspector-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Inspector.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein
<a name="inspector-1"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/11.3.1

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob das EC2 Scannen mit Amazon Inspector aktiviert ist. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn das Amazon EC2 Inspector-Scannen im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Kontrolle fehl, wenn für das delegierte Amazon Inspector-Administratorkonto und für alle Mitgliedskonten das EC2 Scannen nicht aktiviert ist.

In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur für das delegierte Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die EC2 Scanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert `FAILED` Ergebnisse, wenn der delegierte Administrator über ein gesperrtes Mitgliedskonto verfügt, für das der Amazon EC2 Inspector-Scan nicht aktiviert ist. Um ein `PASSED` Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in Amazon Inspector aufheben.

 EC2 Das Scannen mit Amazon Inspector extrahiert Metadaten aus Ihrer Amazon Elastic Compute Cloud (Amazon EC2) -Instance und vergleicht diese Metadaten dann mit Regeln, die in Sicherheitsempfehlungen gesammelt wurden, um Ergebnisse zu erzielen. Amazon Inspector scannt Instances auf Paketschwachstellen und Probleme mit der Netzwerkerreichbarkeit. Informationen zu unterstützten Betriebssystemen, einschließlich der Betriebssysteme, die ohne SSM-Agent gescannt werden können, finden Sie unter [Unterstützte Betriebssysteme: EC2 Amazon-Scannen](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2).

### Abhilfe
<a name="inspector-1-remediation"></a>

Informationen zum Aktivieren von Amazon EC2 Inspector-Scans finden Sie unter [Aktivieren von Scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) im *Amazon Inspector Inspector-Benutzerhandbuch*.

## [Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein
<a name="inspector-2"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/11.3.1

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob das Amazon Inspector ECR-Scannen aktiviert ist. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn das Amazon Inspector ECR-Scannen im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Kontrolle fehl, wenn für das delegierte Amazon Inspector-Administratorkonto und für alle Mitgliedskonten der ECR-Scan nicht aktiviert ist.

In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur für das delegierte Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die ECR-Scanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert `FAILED` Ergebnisse, wenn der delegierte Administrator über ein gesperrtes Mitgliedskonto verfügt, für das der Amazon Inspector ECR-Scan nicht aktiviert ist. Um ein `PASSED` Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in Amazon Inspector aufheben.

Amazon Inspector scannt Container-Images, die in Amazon Elastic Container Registry (Amazon ECR) gespeichert sind, auf Softwareschwachstellen, um Sicherheitslücken in Paketen zu ermitteln. Wenn Sie Amazon Inspector-Scans für Amazon ECR aktivieren, legen Sie Amazon Inspector als Ihren bevorzugten Scan-Service für Ihre private Registrierung fest. Dadurch wird das einfache Scannen, das von Amazon ECR kostenlos bereitgestellt wird, durch das erweiterte Scannen ersetzt, das über Amazon Inspector bereitgestellt und in Rechnung gestellt wird. Das erweiterte Scannen bietet Ihnen den Vorteil des Schwachstellenscans sowohl für Betriebssysteme als auch für Programmiersprachenpakete auf Registrierungsebene. Sie können die Ergebnisse, die mit dem erweiterten Scannen auf Bildebene entdeckt wurden, für jede Ebene des Bilds in der Amazon ECR-Konsole überprüfen. Darüber hinaus können Sie diese Ergebnisse in anderen Diensten überprüfen und mit ihnen arbeiten, die für grundlegende Scanergebnisse nicht verfügbar sind, einschließlich AWS Security Hub CSPM Amazon EventBridge.

### Abhilfe
<a name="inspector-2-remediation"></a>

Informationen zum Aktivieren von Amazon Inspector ECR-Scans finden Sie unter [Aktivieren von Scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) im *Amazon Inspector Inspector-Benutzerhandbuch*.

## [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
<a name="inspector-3"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob das Scannen von Amazon Inspector Lambda-Code aktiviert ist. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn das Scannen von Amazon Inspector Lambda-Code im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Kontrolle fehl, wenn für das delegierte Amazon Inspector-Administratorkonto und für alle Mitgliedskonten der Lambda-Code-Scan nicht aktiviert ist.

In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur für das delegierte Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die Lambda-Code-Scanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert `FAILED` Ergebnisse, wenn der delegierte Administrator ein gesperrtes Mitgliedskonto hat, für das Amazon Inspector Lambda-Code-Scan nicht aktiviert ist. Um ein `PASSED` Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in Amazon Inspector aufheben.

Das Amazon Inspector Lambda-Codescanning scannt den benutzerdefinierten Anwendungscode innerhalb einer AWS Lambda Funktion auf Code-Schwachstellen auf der Grundlage bewährter AWS Sicherheitsmethoden. Durch das Scannen von Lambda-Code können Injektionsfehler, Datenlecks, schwache Kryptografie oder fehlende Verschlüsselung in Ihrem Code erkannt werden. Diese Funktion ist nur in [bestimmten AWS-Regionen](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability) Fällen verfügbar. Sie können das Lambda-Code-Scannen zusammen mit dem Lambda-Standardscannen aktivieren (siehe[[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](#inspector-4)).

### Abhilfe
<a name="inspector-3-remediation"></a>

Informationen zur Aktivierung des Amazon Inspector Lambda-Code-Scans finden Sie unter [Aktivieren von Scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) im *Amazon Inspector Inspector-Benutzerhandbuch*.

## [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
<a name="inspector-4"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob das Standardscannen von Amazon Inspector Lambda aktiviert ist. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn der Amazon Inspector Lambda-Standardscan im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Kontrolle fehl, wenn für das delegierte Amazon Inspector-Administratorkonto und alle Mitgliedskonten das Lambda-Standardscannen nicht aktiviert ist.

In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur für das delegierte Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die Lambda-Standardscanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert `FAILED` Ergebnisse, wenn der delegierte Administrator ein gesperrtes Mitgliedskonto hat, für das Amazon Inspector Lambda Standard-Scan nicht aktiviert ist. Um ein `PASSED` Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in Amazon Inspector aufheben.

Das Standard-Scannen von Amazon Inspector Lambda identifiziert Softwareschwachstellen in den Abhängigkeiten von Anwendungspaketen, die Sie Ihrem AWS Lambda Funktionscode und Ihren Ebenen hinzufügen. Wenn Amazon Inspector eine Sicherheitslücke in den Abhängigkeiten Ihrer Lambda-Funktionsanwendung feststellt, erstellt Amazon Inspector eine detaillierte `Package Vulnerability` Typfindung. Sie können das Lambda-Code-Scannen zusammen mit dem Lambda-Standardscannen aktivieren (siehe[[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](#inspector-3)). 

### Abhilfe
<a name="inspector-4-remediation"></a>

Informationen zur Aktivierung von Amazon Inspector Lambda-Standardscans finden Sie unter [Aktivieren von Scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) im *Amazon Inspector Inspector-Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für AWS IoT
<a name="iot-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS IoT Service und die Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
<a name="iot-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoT::SecurityProfile`

**AWS Config Regel:** `tagged-iot-securityprofile` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein AWS IoT Device Defender Sicherheitsprofil Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn das Sicherheitsprofil keine Tagschlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Sicherheitsprofil mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="iot-1-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einem AWS IoT Device Defender Sicherheitsprofil finden Sie unter [Taggen Ihrer AWS IoT Ressourcen im AWS IoT Entwicklerhandbuch](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html).*

## [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden
<a name="iot-2"></a>

**Kategorie: Identifizieren > Inventar** > Kennzeichnung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoT::MitigationAction`

**AWS Config Regel:** `tagged-iot-mitigationaction` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine AWS IoT Core Schadensbegrenzungsaktion Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind. `requiredTagKeys` Die Steuerung schlägt fehl, wenn die Schadensbegrenzungsaktion keine Tagschlüssel hat oder wenn nicht alle im Parameter angegebenen Schlüssel vorhanden sind. `requiredTagKeys` Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Abhilfemaßnahme mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="iot-2-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einer AWS IoT Core Schadensbegrenzungsmaßnahme finden Sie unter [Taggen Ihrer AWS IoT Ressourcen](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) im Entwicklerhandbuch.AWS IoT *

## [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden
<a name="iot-3"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoT::Dimension`

**AWS Config Regel:** `tagged-iot-dimension` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine AWS IoT Core Dimension über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn die Dimension keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Dimension mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="iot-3-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einer AWS IoT Core Dimension finden Sie unter [Taggen Ihrer AWS IoT Ressourcen im AWS IoT Entwicklerhandbuch](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html).*

## [IoT.4] AWS IoT Core Autorisierer sollten markiert werden
<a name="iot-4"></a>

**Kategorie: Identifizieren > Inventar > Tagging**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoT::Authorizer`

**AWS Config Regel:** `tagged-iot-authorizer` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein AWS IoT Core Autorisierer über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter definiert sind. `requiredTagKeys` Das Steuerelement schlägt fehl, wenn der Autorisierer keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat. `requiredTagKeys` Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Autorisierer mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="iot-4-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einem AWS IoT Core Autorisierer finden Sie unter [Taggen Ihrer AWS IoT Ressourcen](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) im Entwicklerhandbuch.AWS IoT *

## [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden
<a name="iot-5"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoT::RoleAlias`

**AWS Config Regel:** `tagged-iot-rolealias` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein AWS IoT Core Rollenalias Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn der Rollenalias keine Tagschlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Rollenalias mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="iot-5-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einem AWS IoT Core Rollenalias finden Sie unter [Taggen Ihrer AWS IoT Ressourcen im AWS IoT Entwicklerhandbuch](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html).*

## [IoT.6] AWS IoT Core Richtlinien sollten markiert werden
<a name="iot-6"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoT::Policy`

**AWS Config Regel:** `tagged-iot-policy` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine AWS IoT Core Richtlinie Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn die Richtlinie keine Tagschlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Richtlinie mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="iot-6-remediation"></a>

*Informationen zum Hinzufügen von Tags zu einer AWS IoT Core Richtlinie finden Sie unter [Taggen Ihrer AWS IoT Ressourcen im AWS IoT Entwicklerhandbuch](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html).*

# Security Hub CSPM-Steuerungen für IoT Events AWS
<a name="iotevents-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Dienst und die Ressourcen von AWS IoT Events.

Diese Steuerungen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden
<a name="iotevents-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTEvents::Input`

**AWS Config -Regel: ** `iotevents-input-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine AWS IoT-Events-Eingabe Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredKeyTags`. Das Steuerelement schlägt fehl, wenn die Eingabe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Eingabe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iotevents-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer AWS IoT-Ereigniseingabe finden Sie unter [Taggen Ihrer AWS IoT Events Ressourcen](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) im *AWS IoT Events Entwicklerhandbuch*.

## [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden
<a name="iotevents-2"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTEvents::DetectorModel`

**AWS Config -Regel: ** `iotevents-detector-model-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS IoT-Ereignisdetektormodell Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredKeyTags`. Die Steuerung schlägt fehl, wenn das Detektormodell keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft die Steuerung nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Detektormodell mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iotevents-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS IoT-Ereignisdetektormodell finden Sie unter [Taggen Ihrer AWS IoT Events Ressourcen](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) im *AWS IoT Events Entwicklerhandbuch*.

## [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden
<a name="iotevents-3"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTEvents::AlarmModel`

**AWS Config -Regel: ** `iotevents-alarm-model-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Diese Steuerung prüft, ob ein AWS IoT-Events-Alarmmodell Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredKeyTags`. Die Steuerung schlägt fehl, wenn das Alarmmodell keine Tag-Schlüssel hat oder wenn nicht alle im Parameter angegebenen Schlüssel vorhanden sind`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft die Steuerung nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Alarmmodell mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iotevents-3-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS IoT-Ereignis-Alarmmodell finden Sie unter [Taggen Ihrer AWS IoT Events Ressourcen](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) im *AWS IoT Events Entwicklerhandbuch*.

# Security Hub CSPM-Steuerungen für IoT AWS SiteWise
<a name="iotsitewise-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS SiteWise IoT-Dienst und die Ressourcen.

Diese Steuerungen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden
<a name="iotsitewise-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTSiteWise::AssetModel`

**AWS Config -Regel: ** `iotsitewise-asset-model-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS SiteWise IoT-Asset-Modell Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredKeyTags`. Das Steuerelement schlägt fehl, wenn das Asset-Modell keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Asset-Modell mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iotsitewise-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS SiteWise IoT-Assetmodell finden Sie unter [Taggen Ihrer AWS IoT SiteWise Ressourcen](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) im *AWS IoT SiteWise Benutzerhandbuch*.

## [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden
<a name="iotsitewise-2"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTSiteWise::Dashboard`

**AWS Config -Regel: ** `iotsitewise-dashboard-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS SiteWise IoT-Dashboard Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredKeyTags`. Das Steuerelement schlägt fehl, wenn das Dashboard keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel enthält`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Dashboard mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iotsitewise-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS SiteWise IoT-Dashboard finden Sie unter [Taggen Ihrer AWS IoT SiteWise Ressourcen](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) im *AWS IoT SiteWise Benutzerhandbuch*.

## [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden
<a name="iotsitewise-3"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTSiteWise::Gateway`

**AWS Config -Regel: ** `iotsitewise-gateway-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS SiteWise IoT-Gateway über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter definiert sind`requiredKeyTags`. Die Steuerung schlägt fehl, wenn das Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iotsitewise-3-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS SiteWise IoT-Gateway finden Sie unter [Taggen Ihrer AWS IoT SiteWise Ressourcen](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) im *AWS IoT SiteWise Benutzerhandbuch*.

## [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden
<a name="iotsitewise-4"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTSiteWise::Portal`

**AWS Config -Regel: ** `iotsitewise-portal-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS SiteWise IoT-Portal Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredKeyTags`. Das Steuerelement schlägt fehl, wenn das Portal keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Portal mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iotsitewise-4-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS SiteWise IoT-Portal finden Sie unter [Taggen Ihrer AWS IoT SiteWise Ressourcen](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) im *AWS IoT SiteWise Benutzerhandbuch*.

## [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden
<a name="iotsitewise-5"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTSiteWise::Project`

**AWS Config -Regel: ** `iotsitewise-project-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS SiteWise IoT-Projekt Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredKeyTags`. Das Steuerelement schlägt fehl, wenn das Projekt keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Projekt mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iotsitewise-5-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS SiteWise IoT-Projekt finden Sie unter [Taggen Ihrer AWS IoT SiteWise Ressourcen](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) im *AWS IoT SiteWise Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für IoT AWS TwinMaker
<a name="iottwinmaker-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS TwinMaker IoT-Dienst und die Ressourcen.

Diese Steuerungen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
<a name="iottwinmaker-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTTwinMaker::SyncJob`

**AWS Config -Regel: ** `iottwinmaker-sync-job-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS TwinMaker IoT-Synchronisierungsjob Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredKeyTags`. Die Steuerung schlägt fehl, wenn der Synchronisierungsauftrag keine Tag-Schlüssel hat oder wenn nicht alle im Parameter angegebenen Schlüssel vorhanden sind`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Synchronisierungsauftrag mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iottwinmaker-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS TwinMaker IoT-Synchronisierungsjob finden Sie [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)im *AWS IoT TwinMaker Benutzerhandbuch*.

## [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
<a name="iottwinmaker-2"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTTwinMaker::Workspace`

**AWS Config -Regel: ** `iottwinmaker-workspace-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS TwinMaker IoT-Workspace Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredKeyTags`. Das Steuerelement schlägt fehl, wenn der Workspace keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Workspace mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iottwinmaker-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS TwinMaker IoT-Arbeitsbereich finden Sie [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)im *AWS IoT TwinMaker Benutzerhandbuch*.

## [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden
<a name="iottwinmaker-3"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTTwinMaker::Scene`

**AWS Config -Regel: ** `iottwinmaker-scene-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine AWS TwinMaker IoT-Szene Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredKeyTags`. Die Steuerung schlägt fehl, wenn die Szene keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Szene mit keinem Schlüssel markiert ist. System-Tags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iottwinmaker-3-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer AWS TwinMaker IoT-Szene finden Sie [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)im *AWS IoT TwinMaker Benutzerhandbuch*.

## [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden
<a name="iottwinmaker-4"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTTwinMaker::Entity`

**AWS Config -Regel: ** `iottwinmaker-entity-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine AWS TwinMaker IoT-Entität Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredKeyTags`. Das Steuerelement schlägt fehl, wenn die Entität keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Entität mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iottwinmaker-4-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer AWS TwinMaker IoT-Entität finden Sie [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)im *AWS IoT TwinMaker Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für IoT Wireless AWS
<a name="iotwireless-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS IoT-Wireless-Service und die Ressourcen.

Diese Steuerungen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden
<a name="iotwireless-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTWireless::MulticastGroup`

**AWS Config -Regel: ** `iotwireless-multicast-group-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine AWS IoT Wireless Wireless-Multicast-Gruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredKeyTags` definiert sind. Die Steuerung schlägt fehl, wenn die Multicast-Gruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat. `requiredKeyTags` Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Multicast-Gruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iotwireless-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer AWS IoT-Wireless-Multicast-Gruppe finden Sie unter [Taggen Ihrer AWS IoT Wireless Ressourcen](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) im *AWS IoT Wireless Entwicklerhandbuch*.

## [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden
<a name="iotwireless-2"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTWireless::ServiceProfile`

**AWS Config -Regel: ** `iotwireless-service-profile-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein AWS IoT Wireless Wireless-Dienstprofil Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredKeyTags`. Die Steuerung schlägt fehl, wenn das Dienstprofil keine Tagschlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel enthält`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Dienstprofil mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iotwireless-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS IoT Wireless Wireless-Dienstprofil finden Sie unter [Taggen Ihrer AWS IoT Wireless Ressourcen](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) im *AWS IoT Wireless Entwicklerhandbuch*.

## [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden
<a name="iotwireless-3"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IoTWireless::FuotaTask`

**AWS Config -Regel: ** `iotwireless-fuota-task-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine AWS IoT Wireless Firmware Update over-the-air (FUOTA) -Task Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredKeyTags` definiert sind. Die Steuerung schlägt fehl, wenn die FUOTA-Aufgabe keine Tag-Schlüssel hat oder wenn nicht alle im Parameter angegebenen Schlüssel vorhanden sind. `requiredKeyTags` Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die FUOTA-Aufgabe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="iotwireless-3-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer AWS IoT Wireless FUOTA-Aufgabe finden Sie unter [Tagging your AWS IoT Wireless resources](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) im *AWS IoT Wireless Developer* Guide.

# Security Hub CSPM-Steuerungen für Amazon IVS
<a name="ivs-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen des Amazon Interactive Video Service (IVS).

Diese Steuerungen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein
<a name="ivs-1"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IVS::PlaybackKeyPair`

**AWS Config -Regel: ** `ivs-playback-key-pair-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon IVS-Wiedergabeschlüsselpaar Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredKeyTags` definiert sind. Die Steuerung schlägt fehl, wenn das Playback-Schlüsselpaar keine Tag-Tasten hat oder wenn es nicht alle im Parameter angegebenen Tasten hat`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Playback-Schlüsselpaar mit keinem Schlüssel markiert ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="ivs-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem IVS-Wiedergabeschlüsselpaar finden Sie [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)in der *Amazon IVS Real-Time Streaming API-Referenz*.

## [IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
<a name="ivs-2"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IVS::RecordingConfiguration`

**AWS Config -Regel: ** `ivs-recording configuration-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon IVS-Aufzeichnungskonfiguration Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredKeyTags` definiert sind. Die Steuerung schlägt fehl, wenn die Aufzeichnungskonfiguration keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredKeyTags` angegebenen Schlüssel enthält. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Aufzeichnungskonfiguration mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="ivs-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer IVS-Aufzeichnungskonfiguration finden Sie [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)in der *Amazon IVS Real-Time Streaming API-Referenz*.

## [IVS.3] IVS-Kanäle sollten markiert werden
<a name="ivs-3"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::IVS::Channel`

**AWS Config -Regel: ** `ivs-channel-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon IVS-Kanal Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredKeyTags` definiert sind. Die Steuerung schlägt fehl, wenn der Kanal keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter `requiredKeyTags` angegebenen Schlüssel hat. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Kanal mit keinem Schlüssel markiert ist. System-Tags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="ivs-3-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem IVS-Kanal finden Sie [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)in der *Amazon IVS Real-Time Streaming API-Referenz*.

# Security Hub CSPM-Steuerelemente für Amazon Keyspaces
<a name="keyspaces-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Keyspaces.

Diese Kontrollen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden
<a name="keyspaces-1"></a>

**Kategorie: Identifizieren > Inventar > Tagging**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Cassandra::Keyspace`

**AWS Config -Regel: ** `cassandra-keyspace-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon Keyspaces-Schlüsselraum Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind. `requiredKeyTags` Die Steuerung schlägt fehl, wenn der Schlüsselraum keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthält. `requiredKeyTags` Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Schlüsselraum mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="keyspaces-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Amazon Keyspaces-Schlüsselraum finden [Sie unter Hinzufügen von Tags zu einem Schlüsselraum im *Amazon Keyspaces-Entwicklerhandbuch*](https://docs.aws.amazon.com/keyspaces/latest/devguide/Tagging.Operations.existing.keyspace.html).

# Security Hub CSPM-Steuerungen für Kinesis
<a name="kinesis-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Kinesis.

Diese Kontrollen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
<a name="kinesis-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6)

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Kinesis::Stream`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine 

Dieses Steuerelement prüft, ob Kinesis Data Streams im Ruhezustand mit serverseitiger Verschlüsselung verschlüsselt sind. Diese Steuerung schlägt fehl, wenn ein Kinesis-Stream im Ruhezustand nicht mit serverseitiger Verschlüsselung verschlüsselt ist.

Serverseitige Verschlüsselung ist eine Funktion in Amazon Kinesis Data Streams, die Daten automatisch verschlüsselt, bevor sie sich im Ruhezustand befinden, mithilfe eines. AWS KMS key Die Daten werden verschlüsselt, bevor sie in die Speicherschicht des Kinesis-Streams geschrieben werden. Nach Abruf aus dem Speicher werden sie entschlüsselt. Daher werden Ihre Daten im Ruhezustand innerhalb des Amazon Kinesis Data Streams Streams-Service verschlüsselt.

### Abhilfe
<a name="kinesis-1-remediation"></a>

Informationen zur Aktivierung der serverseitigen Verschlüsselung für Kinesis-Streams finden Sie unter [Wie fange ich mit serverseitiger Verschlüsselung an](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html)? im *Amazon Kinesis Developer Guide*.

## [Kinesis.2] Kinesis-Streams sollten markiert werden
<a name="kinesis-2"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Kinesis::Stream`

**AWS Config Regel:** `tagged-kinesis-stream` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon Kinesis Kinesis-Datenstream Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn der Datenstream keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Datenstrom mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="kinesis-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Kinesis-Datenstream finden Sie unter [Tagging your streams in Amazon Kinesis Data Streams](https://docs.aws.amazon.com/streams/latest/dev/tagging.html) im *Amazon Kinesis* Developer Guide.

## [Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen
<a name="kinesis-3"></a>

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::Kinesis::Stream`

**AWS Config-Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  minimumBackupRetentionPeriod  | Mindestanzahl von Stunden, für die die Daten aufbewahrt werden sollen.  | Zeichenfolge  | 24 bis 8760  | 168  | 

Dieses Steuerelement prüft, ob ein Amazon Kinesis Kinesis-Datenstream eine Datenaufbewahrungsdauer hat, die größer oder gleich dem angegebenen Zeitraum ist. Die Kontrolle schlägt fehl, wenn die Datenaufbewahrungsdauer den angegebenen Zeitraum unterschreitet. Sofern Sie keinen benutzerdefinierten Parameterwert für die Datenaufbewahrungsdauer angeben, verwendet Security Hub CSPM einen Standardwert von 168 Stunden.

In Kinesis Data Streams ist ein Datenstrom eine geordnete Abfolge von Datensätzen, in die in Echtzeit geschrieben und daraus gelesen werden soll. Datensätze werden vorübergehend in Shards in Ihrem Stream gespeichert. Der Zeitraum ab dem Hinzufügen eines Datensatzes bis zu dem Zeitpunkt, an dem er nicht mehr verfügbar ist, wird als Aufbewahrungszeitraum bezeichnet. Kinesis Data Streams macht Datensätze, die älter als die neue Aufbewahrungsfrist sind, fast sofort unzugänglich, nachdem die Aufbewahrungsfrist verkürzt wurde. Beispielsweise bedeutet eine Änderung des Aufbewahrungszeitraums von 24 Stunden auf 48 Stunden, dass Datensätze, die 23 Stunden und 55 Minuten vorher zum Stream hinzugefügt wurden, nach 24 Stunden weiterhin verfügbar sind. 

### Abhilfe
<a name="kinesis-3-remediation"></a>

Informationen zum Ändern der Aufbewahrungsdauer von Backups für Ihre Kinesis Data Streams finden Sie unter [Ändern der Datenaufbewahrungsdauer](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html) im *Amazon Kinesis Data Streams Developer Guide*.

# Security Hub CSPM-Steuerungen für AWS KMS
<a name="kms-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS Key Management Service (AWS KMS) Dienst und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen
<a name="kms-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-6

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::IAM::Policy`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** 
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`(nicht anpassbar)
+ `excludePermissionBoundaryPolicy`: `True` (nicht anpassbar)

Überprüft, ob die Standardversion der kundenverwalteten IAM-Richtlinien es Prinzipalen erlaubt, die AWS KMS Entschlüsselungsaktionen für alle Ressourcen zu verwenden. Die Steuerung schlägt fehl, wenn die Richtlinie offen genug ist, um `kms:ReEncryptFrom` Aktionen für alle `kms:Decrypt` KMS-Schlüssel zuzulassen.

Das Steuerelement überprüft nur KMS-Schlüssel im Resource-Element und berücksichtigt keine Bedingungen im Condition-Element einer Richtlinie. Darüber hinaus bewertet das Steuerelement sowohl angehängte als auch nicht verknüpfte, vom Kunden verwaltete Richtlinien. Inline-Richtlinien oder AWS verwaltete Richtlinien werden nicht überprüft.

Damit kontrollieren Sie AWS KMS, wer Ihre KMS-Schlüssel verwenden und auf Ihre verschlüsselten Daten zugreifen kann. IAM-Richtlinien definieren, welche Aktionen eine Identität (Benutzer, Gruppe oder Rolle) auf welchen Ressourcen ausführen kann. Gemäß den bewährten Sicherheitsmethoden wird AWS empfohlen, die geringsten Rechte zuzulassen. Mit anderen Worten, Sie sollten Identitäten nur die `kms:ReEncryptFrom` Berechtigungen `kms:Decrypt` oder und nur die Schlüssel gewähren, die für die Ausführung einer Aufgabe erforderlich sind. Andernfalls verwendet der Benutzer möglicherweise Schlüssel, die für Ihre Daten nicht geeignet sind.

Anstatt Berechtigungen für alle Schlüssel zu gewähren, sollten Sie die Mindestanzahl an Schlüsseln festlegen, die Benutzer für den Zugriff auf verschlüsselte Daten benötigen. Entwerfen Sie dann Richtlinien, die es Benutzern ermöglichen, nur diese Schlüssel zu verwenden. Erlauben Sie beispielsweise nicht die `kms:Decrypt` Erlaubnis für alle KMS-Schlüssel. Erlauben Sie stattdessen `kms:Decrypt` nur Schlüssel in einer bestimmten Region für Ihr Konto. Durch die Anwendung des Prinzips der geringsten Rechte können Sie das Risiko einer unbeabsichtigten Offenlegung Ihrer Daten verringern.

### Abhilfe
<a name="kms-1-remediation"></a>

Informationen zum Ändern einer vom Kunden verwalteten IAM-Richtlinie finden Sie unter [Bearbeiten von kundenverwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) im *IAM-Benutzerhandbuch*. Wenn Sie Ihre Richtlinie bearbeiten, geben Sie für das `Resource` Feld den Amazon-Ressourcennamen (ARN) des spezifischen Schlüssels oder der Schlüssel an, für die Sie Entschlüsselungsaktionen zulassen möchten.

## [KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen
<a name="kms-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`(nicht anpassbar)

Dieses Steuerelement prüft, ob die in Ihre IAM-Identitäten (Rolle, Benutzer oder Gruppe) eingebetteten Inline-Richtlinien die AWS KMS Entschlüsselung und erneute Verschlüsselung aller KMS-Schlüssel zulassen. Die Steuerung schlägt fehl, wenn die Richtlinie offen genug ist, um `kms:ReEncryptFrom` Aktionen für alle `kms:Decrypt` KMS-Schlüssel zuzulassen.

Das Steuerelement überprüft nur KMS-Schlüssel im Resource-Element und berücksichtigt keine Bedingungen im Condition-Element einer Richtlinie.

Mit steuern Sie AWS KMS, wer Ihre KMS-Schlüssel verwenden und auf Ihre verschlüsselten Daten zugreifen kann. IAM-Richtlinien definieren, welche Aktionen eine Identität (Benutzer, Gruppe oder Rolle) auf welchen Ressourcen ausführen kann. Gemäß den bewährten Sicherheitsmethoden wird AWS empfohlen, die geringsten Rechte zuzulassen. Mit anderen Worten, Sie sollten Identitäten nur die Berechtigungen gewähren, die sie benötigen, und nur für Schlüssel, die zur Ausführung einer Aufgabe erforderlich sind. Andernfalls verwendet der Benutzer möglicherweise Schlüssel, die für Ihre Daten nicht geeignet sind.

Anstatt die Erlaubnis für alle Schlüssel zu erteilen, sollten Sie die Mindestanzahl an Schlüsseln festlegen, die Benutzer für den Zugriff auf verschlüsselte Daten benötigen. Entwerfen Sie dann Richtlinien, die es den Benutzern ermöglichen, nur diese Schlüssel zu verwenden. Erlauben Sie beispielsweise nicht die `kms:Decrypt` Erlaubnis für alle KMS-Schlüssel. Erlauben Sie die Erlaubnis stattdessen nur für bestimmte Schlüssel in einer bestimmten Region für Ihr Konto. Indem Sie das Prinzip der geringsten Rechte anwenden, können Sie das Risiko einer unbeabsichtigten Offenlegung Ihrer Daten verringern.

### Abhilfe
<a name="kms-2-remediation"></a>

Informationen zum Ändern einer IAM-Inline-Richtlinie finden Sie unter [Bearbeiten von Inline-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) im *IAM-Benutzerhandbuch*. Wenn Sie Ihre Richtlinie bearbeiten, geben Sie für das `Resource` Feld den Amazon-Ressourcennamen (ARN) des spezifischen Schlüssels oder der Schlüssel an, für die Sie Entschlüsselungsaktionen zulassen möchten.

## [KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden
<a name="kms-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 SC-1 2, 2 ( NIST.800-53.r5 SC-12)

**Kategorie:** Schützen > Datenschutz > Schutz vor Datenlöschung

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::KMS::Key`

**AWS Config Regel:** `kms-cmk-not-scheduled-for-deletion-2` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Löschung von KMS-Schlüsseln geplant ist. Die Steuerung schlägt fehl, wenn das Löschen eines KMS-Schlüssels geplant ist.

KMS-Schlüssel können nach dem Löschen nicht wiederhergestellt werden. Mit einem KMS-Schlüssel verschlüsselte Daten können auch dauerhaft nicht wiederhergestellt werden, wenn der KMS-Schlüssel gelöscht wird. *Wenn aussagekräftige Daten mit einem KMS-Schlüssel verschlüsselt wurden, der gelöscht werden soll, sollten Sie erwägen, die Daten zu entschlüsseln oder die Daten erneut mit einem neuen KMS-Schlüssel zu verschlüsseln, sofern Sie nicht absichtlich eine kryptografische Löschung durchführen.*

Wenn das Löschen eines KMS-Schlüssels geplant ist, wird eine obligatorische Wartezeit durchgesetzt, damit genügend Zeit zur Verfügung steht, um den Löschvorgang rückgängig zu machen, falls er versehentlich geplant wurde. Die standardmäßige Wartezeit beträgt 30 Tage, kann aber auf bis zu 7 Tage reduziert werden, wenn der KMS-Schlüssel gelöscht werden soll. Während der Wartezeit kann das geplante Löschen abgebrochen werden und der KMS-Schlüssel wird nicht gelöscht.

Weitere Informationen zum Löschen von KMS-Schlüsseln finden Sie unter [Löschen von KMS-Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) im *AWS Key Management Service Entwicklerhandbuch*.

### Abhilfe
<a name="kms-3-remediation"></a>

Informationen zum Abbrechen einer geplanten Löschung von KMS-Schlüsseln finden Sie im *AWS Key Management Service Entwicklerhandbuch* unter **So brechen Sie das Löschen** [von Schlüsseln ab (Konsole) unter So brechen Sie das Löschen](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console) von Schlüsseln ab.

## [KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein
<a name="kms-4"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/3.6, CIS Foundations Benchmark v3.0.0/3.6, CIS AWS Foundations Benchmark v1.4.0/3.8, CIS AWS Foundations Benchmark v1.2.0/2.8, 2, 2 ( NIST.800-53.r5 SC-12), 8 (3), AWS PCI DSS v3.2.1/3.6.4, PCI DSS NIST.800-53.r5 SC-1 v4.0.1/3.7.4 NIST.800-53.r5 SC-2

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::KMS::Key`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

AWS KMS ermöglicht Kunden die Rotation des Backing-Schlüssels, bei dem es sich um Schlüsselmaterial handelt, das im KMS-Schlüssel gespeichert ist AWS KMS und mit der Schlüssel-ID des KMS-Schlüssels verknüpft ist. Der Unterstützungsschlüssel wird zum Durchführen kryptografischer Vorgänge wie z. B. Ver- und Entschlüsselungen verwendet. Die automatische Schlüsselrotation speichert derzeit alle vorherigen Unterstützungsschlüssel, sodass eine transparente Entschlüsselung verschlüsselter Daten erfolgen kann.

CIS empfiehlt, die KMS-Schlüsselrotation zu aktivieren. Das Rotieren der Verschlüsselungsschlüssel trägt zur Verringerung der potenziellen Auswirkungen eines kompromittierten Schlüssels bei, da der Zugriff auf mit einem neuen Schlüssel verschlüsselte Daten mit einem vorherigen Schlüssel, der möglicherweise kompromittiert wurde, nicht möglich ist.

### Abhilfe
<a name="kms-4-remediation"></a>

Informationen zur Aktivierung der KMS-Schlüsselrotation finden Sie unter [So aktivieren und deaktivieren Sie die automatische Schlüsselrotation](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable) im *AWS Key Management Service Entwicklerhandbuch*.

## [KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein
<a name="kms-5"></a>

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::KMS::Key`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dadurch wird geprüft, ob ein öffentlich zugänglich AWS KMS key ist. Die Steuerung schlägt fehl, wenn der KMS-Schlüssel öffentlich zugänglich ist.

Die Implementierung des Zugriffs mit den geringsten Rechten ist von grundlegender Bedeutung, um das Sicherheitsrisiko und die Auswirkungen von Fehlern oder böswilligen Absichten zu verringern. Wenn die Schlüsselrichtlinie für ein den Zugriff von externen Konten aus AWS KMS key zulässt, können Dritte möglicherweise Daten mithilfe des Schlüssels ver- und entschlüsseln. Dies könnte dazu führen, dass eine interne oder externe Bedrohung Daten aus dem System herausfiltert, AWS-Services das den Schlüssel verwendet.

**Anmerkung**  
Dieses Steuerelement gibt auch ein `FAILED` Ergebnis zurück, AWS KMS key wenn Ihre Konfigurationen AWS Config verhindern, dass die Schlüsselrichtlinie im Konfigurationselement (CI) für den KMS-Schlüssel aufgezeichnet wird. Damit die Schlüsselrichtlinie im CI für AWS Config den KMS-Schlüssel aufgefüllt werden kann, muss die [AWS Config Rolle](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html#gs-cli-create-iamrole) Zugriff haben, um die Schlüsselrichtlinie mithilfe des [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)API-Aufrufs lesen zu können. Um diese Art von Problem zu lösen`FAILED`, überprüfen Sie die Richtlinien, die verhindern können, dass die AWS Config Rolle Lesezugriff auf die Schlüsselrichtlinie für den KMS-Schlüssel hat. Überprüfen Sie beispielsweise Folgendes:  
Die Schlüsselrichtlinie für den KMS-Schlüssel.
Die darin enthaltenen [Dienststeuerungsrichtlinien (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) und [Ressourcensteuerungsrichtlinien (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) gelten für Ihr Konto. AWS Organizations 
Berechtigungen für die AWS Config Rolle, wenn Sie die [AWS Config dienstverknüpfte Rolle](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html) nicht verwenden.
Darüber hinaus bewertet dieses Steuerelement keine Richtlinienbedingungen, die Platzhalterzeichen oder Variablen verwenden. Um ein `PASSED` Ergebnis zu erzielen, dürfen Bedingungen in der Schlüsselrichtlinie nur feste Werte verwenden, d. h. Werte, die keine Platzhalterzeichen oder Richtlinienvariablen enthalten. Informationen zu Richtlinienvariablen finden Sie unter [Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) im *AWS Identity and Access Management Benutzerhandbuch*.

### Abhilfe
<a name="kms-5-remediation"></a>

Informationen zur Aktualisierung der wichtigsten Richtlinien für eine AWS KMS key finden Sie unter [Wichtige Richtlinien AWS KMS im AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-overview) *Entwicklerhandbuch*.

# Security Hub CSPM-Steuerungen für AWS Lambda
<a name="lambda-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS Lambda Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten
<a name="lambda-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/7.2.1 NIST.800-53.r5 SC-7

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::Lambda::Function`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die ressourcenbasierte Richtlinie der Lambda-Funktion den öffentlichen Zugriff außerhalb Ihres Kontos verbietet. Die Kontrolle schlägt fehl, wenn der öffentliche Zugriff zulässig ist. Die Kontrolle schlägt auch fehl, wenn eine Lambda-Funktion von Amazon S3 aus aufgerufen wird und die Richtlinie keine Bedingung zur Beschränkung des öffentlichen Zugriffs enthält, wie z. `AWS:SourceAccount` Wir empfehlen, andere S3-Bedingungen zusammen mit `AWS:SourceAccount` in Ihrer Bucket-Richtlinie zu verwenden, um den Zugriff zu verfeinern.

**Anmerkung**  
Dieses Steuerelement bewertet keine Richtlinienbedingungen, die Platzhalterzeichen oder Variablen verwenden. Um ein `PASSED` Ergebnis zu erzielen, dürfen Bedingungen in der Richtlinie für die Lambda-Funktion nur feste Werte verwenden, d. h. Werte, die keine Platzhalterzeichen oder Richtlinienvariablen enthalten. Informationen zu Richtlinienvariablen finden Sie unter [Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) im *AWS Identity and Access Management Benutzerhandbuch*.

Die Lambda-Funktion sollte nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihren Funktionscode ermöglichen kann.

### Abhilfe
<a name="lambda-1-remediation"></a>

Um dieses Problem zu beheben, müssen Sie die ressourcenbasierte Richtlinie Ihrer Funktion aktualisieren, um Berechtigungen zu entfernen oder die Bedingung hinzuzufügen. `AWS:SourceAccount` Sie können die ressourcenbasierte Richtlinie nur über die Lambda-API oder aktualisieren. AWS CLI

[Überprüfen Sie zunächst die ressourcenbasierte Richtlinie auf](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) der Lambda-Konsole. Identifizieren Sie die Richtlinienaussage, deren `Principal` Feldwerte die Richtlinie öffentlich machen, z. B. oder. `"*"` `{ "AWS": "*" }`

Sie können die Richtlinie nicht von der Konsole aus bearbeiten. Um der Funktion Berechtigungen zu entziehen, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html)Befehl über den aus AWS CLI.

```
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
```

`<function-name>`Ersetzen Sie durch den Namen der Lambda-Funktion und `<statement-id>` durch die Anweisungs-ID (`Sid`) der Anweisung, die Sie entfernen möchten.

## [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden
<a name="lambda-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/12.3.4

**Kategorie:** Schutz > Sichere Entwicklung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::Lambda::Function`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** 
+ `runtime`: `dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3` (nicht anpassbar)

Dieses Steuerelement prüft, ob die Laufzeiteinstellungen der AWS Lambda Funktionen mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Die Steuerung schlägt fehl, wenn die Lambda-Funktion keine unterstützte Laufzeit verwendet, wie im Abschnitt Parameter angegeben. Security Hub CSPM ignoriert Funktionen mit dem Pakettyp. `Image`

Lambda-Laufzeiten basieren auf einer Kombination aus Betriebssystem, Programmiersprache und Softwarebibliotheken, die Wartungs- und Sicherheitsupdates unterliegen. Wenn eine Laufzeitkomponente für Sicherheitsupdates nicht mehr unterstützt wird, hat Lambda die Laufzeit als veraltet eingestuft. Auch wenn Sie keine Funktionen erstellen können, die die veraltete Runtime verwenden, ist die Funktion dennoch für die Verarbeitung von Aufrufereignissen verfügbar. Wir empfehlen sicherzustellen, dass Ihre Lambda-Funktionen aktuell sind und keine veralteten Laufzeitumgebungen verwenden. *Eine Liste der unterstützten Laufzeiten finden Sie unter [Lambda-Laufzeiten im AWS Lambda Developer](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html) Guide.*

### Abhilfe
<a name="lambda-2-remediation"></a>

*Weitere Informationen zu unterstützten Laufzeiten und Zeitplänen für veraltete Versionen finden Sie unter [Runtime Deprecation](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html) Policy im Developer Guide.AWS Lambda * Wenn Sie Ihre Laufzeiten auf die neueste Version migrieren, folgen Sie der Syntax und Anleitung der Herausgeber der Sprache. Wir empfehlen außerdem, [Runtime-Updates zu installieren](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls), um das Risiko einer Beeinträchtigung Ihrer Workloads im seltenen Fall einer Runtime-Versionsinkompatibilität zu verringern.

## [Lambda.3] Lambda-Funktionen sollten sich in einer VPC befinden
<a name="lambda-3"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-3,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Niedrig

**Ressourcentyp:** `AWS::Lambda::Function`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)** 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Lambda-Funktion in einer Virtual Private Cloud (VPC) bereitgestellt ist. Die Steuerung schlägt fehl, wenn die Lambda-Funktion nicht in einer VPC bereitgestellt wird. Security Hub CSPM bewertet die Konfiguration des VPC-Subnetz-Routings nicht, um die öffentliche Erreichbarkeit zu ermitteln. Möglicherweise werden fehlgeschlagene Ergebnisse für Lambda @Edge -Ressourcen angezeigt.

Die Bereitstellung von Ressourcen in einer VPC verbessert die Sicherheit und Kontrolle über Netzwerkkonfigurationen. Solche Bereitstellungen bieten auch Skalierbarkeit und hohe Fehlertoleranz über mehrere Availability Zones hinweg. Sie können VPC-Bereitstellungen an unterschiedliche Anwendungsanforderungen anpassen.

### Abhilfe
<a name="lambda-3-remediation"></a>

*Informationen zur Konfiguration einer vorhandenen Funktion zum Herstellen einer Verbindung zu privaten Subnetzen in Ihrer VPC finden Sie unter [Konfiguration des VPC-Zugriffs im AWS Lambda Entwicklerhandbuch](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring).* Wir empfehlen, mindestens zwei private Subnetze für hohe Verfügbarkeit und mindestens eine Sicherheitsgruppe auszuwählen, die die Konnektivitätsanforderungen der Funktion erfüllt.

## [Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
<a name="lambda-5"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Lambda::Function`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `availabilityZones`  |  Mindestanzahl von Availability Zones  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Dieses Steuerelement prüft, ob eine AWS Lambda Funktion, die eine Verbindung zu einer Virtual Private Cloud (VPC) herstellt, in mindestens der angegebenen Anzahl von Availability Zone (AZs) betrieben wird. Die Steuerung schlägt fehl, wenn die Funktion nicht in mindestens der angegebenen Anzahl von AZs funktioniert. Sofern Sie keinen benutzerdefinierten Parameterwert für die Mindestanzahl von angeben AZs, verwendet Security Hub CSPM einen Standardwert von 2. AZs

Die Bereitstellung mehrerer Ressourcen AZs ist eine AWS bewährte Methode, um eine hohe Verfügbarkeit innerhalb Ihrer Architektur sicherzustellen. Verfügbarkeit ist eine zentrale Säule des dreifachen Sicherheitsmodells für Vertraulichkeit, Integrität und Verfügbarkeit. Alle Lambda-Funktionen, die eine Verbindung zu einer VPC herstellen, sollten über eine Multi-AZ-Bereitstellung verfügen, um sicherzustellen, dass eine einzelne Ausfallzone nicht zu einer vollständigen Betriebsunterbrechung führt.

### Abhilfe
<a name="lambda-5-remediation"></a>

Wenn Sie Ihre Funktion so konfigurieren, dass sie eine Verbindung zu einer VPC in Ihrem Konto herstellt, geben Sie mehrere Subnetze an, um eine hohe AZs Verfügbarkeit zu gewährleisten. Anweisungen finden Sie unter [Konfiguration des VPC-Zugriffs](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) im *AWS Lambda Entwicklerhandbuch*.

Lambda führt automatisch mehrere Funktionen aus, AZs um sicherzustellen, dass es für die Verarbeitung von Ereignissen im Falle einer Serviceunterbrechung in einer einzelnen Zone verfügbar ist.

## [Lambda.6] Lambda-Funktionen sollten markiert werden
<a name="lambda-6"></a>

**Kategorie: Identifizieren > Inventar > Tagging**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Lambda::Function`

**AWS Config Regel:** `tagged-lambda-function` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine AWS Lambda Funktion über Tags mit den spezifischen Tasten verfügt, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn die Funktion keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Funktion mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="lambda-6-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Lambda-Funktion finden Sie unter [Verwenden von Tags für Lambda-Funktionen](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html) im *AWS Lambda Entwicklerhandbuch*.

## [Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray
<a name="lambda-7"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-7

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Lambda::Function`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob das aktive Tracing mit für eine AWS Lambda Funktion aktiviert AWS X-Ray ist. Die Steuerung schlägt fehl, wenn das aktive Tracing mit X-Ray für die Lambda-Funktion deaktiviert ist.

AWS X-Ray kann AWS Lambda Funktionen zur Nachverfolgung und Überwachung bereitstellen, wodurch Zeit und Mühe beim Debuggen und Bedienen von Lambda-Funktionen eingespart werden können. Es kann Ihnen helfen, Fehler zu diagnostizieren und Leistungsengpässe, Verlangsamungen und Timeouts zu identifizieren, indem es die Latenz für Lambda-Funktionen aufschlüsselt. Es kann auch bei Datenschutz- und Compliance-Anforderungen helfen. Wenn Sie die aktive Ablaufverfolgung für eine Lambda-Funktion aktivieren, bietet X-Ray einen ganzheitlichen Überblick über den Datenfluss und die Verarbeitung innerhalb der Lambda-Funktion, sodass Sie potenzielle Sicherheitslücken oder nicht konforme Datenverarbeitungspraktiken identifizieren können. Diese Transparenz kann Ihnen helfen, Datenintegrität und Vertraulichkeit zu wahren und die Einhaltung relevanter Vorschriften zu gewährleisten.

**Anmerkung**  
AWS X-Ray Die Ablaufverfolgung wird derzeit nicht für Lambda-Funktionen mit Amazon Managed Streaming for Apache Kafka (Amazon MSK), selbstverwaltetem Apache Kafka, Amazon MQ mit ActiveMQ und RabbitMQ oder Amazon DocumentDB DocumentDB-Ereignisquellenzuordnungen unterstützt.

### Abhilfe
<a name="lambda-7-remediation"></a>

*Informationen zur Aktivierung von Active Tracing für eine AWS Lambda Funktion finden Sie unter [Visualize Lambda function invocations using AWS X-Ray](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html) im Developer Guide.AWS Lambda *

# Security Hub CSPM-Steuerungen für Macie
<a name="macie-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Amazon Macie-Service.

Diese Kontrollen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Macie.1] Amazon Macie sollte aktiviert sein
<a name="macie-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.R5 SI-4

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html)

**Art des Zeitplans:** Periodisch

Diese Kontrolle prüft, ob Amazon Macie für ein Konto aktiviert ist. Die Kontrolle schlägt fehl, wenn Macie für das Konto nicht aktiviert ist.

Amazon Macie erkennt sensible Daten mithilfe von maschinellem Lernen und Musterabgleich, bietet Einblick in Datensicherheitsrisiken und ermöglicht automatisierten Schutz vor diesen Risiken. Macie bewertet Ihre Amazon Simple Storage Service (Amazon S3) -Buckets automatisch und kontinuierlich im Hinblick auf Sicherheit und Zugriffskontrolle und generiert Ergebnisse, um Sie über potenzielle Probleme mit der Sicherheit oder dem Datenschutz Ihrer Amazon S3-Daten zu informieren. Macie automatisiert auch die Erkennung und Meldung sensibler Daten, wie z. B. personenbezogener Daten (PII), um Ihnen ein besseres Verständnis der Daten zu vermitteln, die Sie in Amazon S3 speichern. Weitere Informationen finden Sie im [https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html).

### Abhilfe
<a name="macie-1-remediation"></a>

Informationen zur Aktivierung von Macie finden Sie unter [Macie aktivieren](https://docs.aws.amazon.com/macie/latest/user/getting-started.html#enable-macie) im *Amazon Macie Macie-Benutzerhandbuch*.

## [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
<a name="macie-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.R5 SI-4

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html)

**Art des Zeitplans:** Periodisch

Dieses Steuerelement prüft, ob die automatische Erkennung sensibler Daten für ein Amazon Macie-Administratorkonto aktiviert ist. Die Kontrolle schlägt fehl, wenn die automatische Erkennung sensibler Daten für ein Macie-Administratorkonto nicht aktiviert ist. Dieses Steuerelement gilt nur für Administratorkonten.

Macie automatisiert die Erkennung und Meldung sensibler Daten, wie z. B. persönlich identifizierbare Informationen (PII), in Amazon Simple Storage Service (Amazon S3) -Buckets. Mit der automatisierten Erkennung sensibler Daten bewertet Macie kontinuierlich Ihr Bucket-Inventar und verwendet Stichprobenverfahren, um repräsentative S3-Objekte aus Ihren Buckets zu identifizieren und auszuwählen. Macie analysiert dann die ausgewählten Objekte und untersucht sie auf sensible Daten. Im Verlauf der Analysen aktualisiert Macie Statistiken, Inventardaten und andere Informationen, die es zu Ihren S3-Daten bereitstellt. Macie generiert auch Ergebnisse, um gefundene sensible Daten zu melden.

### Abhilfe
<a name="macie-2-remediation"></a>

Informationen zum Erstellen und Konfigurieren automatisierter Discovery-Jobs für sensible Daten zur Analyse von Objekten in S3-Buckets finden Sie unter [Konfiguration der automatisierten Erkennung sensibler Daten für Ihr Konto](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html) im *Amazon Macie Macie-Benutzerhandbuch*.

# Security Hub CSPM-Steuerelemente für Amazon MSK
<a name="msk-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Managed Streaming for Apache Kafka (Amazon MSK). Die Steuerelemente sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
<a name="msk-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1

**Kategorie: Schützen > Datenschutz >** Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::MSK::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob ein Amazon MSK-Cluster bei der Übertragung mit HTTPS (TLS) zwischen den Broker-Knoten des Clusters verschlüsselt ist. Die Steuerung schlägt fehl, wenn die Klartext-Kommunikation für eine Cluster-Broker-Knotenverbindung aktiviert ist.

HTTPS bietet eine zusätzliche Sicherheitsebene, da TLS für die Übertragung von Daten verwendet wird, und kann dazu beitragen, potenzielle Angreifer daran zu hindern, person-in-the-middle Netzwerkverkehr mit oder ähnlichen Angriffen zu belauschen oder zu manipulieren. Standardmäßig verschlüsselt Amazon MSK Daten bei der Übertragung mit TLS. Sie können diese Standardeinstellung jedoch bei der Erstellung des Clusters überschreiben. Wir empfehlen die Verwendung verschlüsselter Verbindungen über HTTPS (TLS) für Broker-Knotenverbindungen.

### Abhilfe
<a name="msk-1-remediation"></a>

Informationen zur Aktualisierung der Verschlüsselungseinstellungen für einen Amazon MSK-Cluster finden Sie unter [Aktualisieren der Sicherheitseinstellungen eines Clusters](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) im *Amazon Managed Streaming for Apache Kafka Developer Guide*.

## [MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein
<a name="msk-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::MSK::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für einen Amazon MSK-Cluster eine erweiterte Überwachung konfiguriert ist, die durch eine Überwachungsebene von mindestens `PER_TOPIC_PER_BROKER` angegeben wird. Die Steuerung schlägt fehl, wenn die Überwachungsebene für den Cluster auf `DEFAULT` oder `PER_BROKER` gesetzt ist.

Die `PER_TOPIC_PER_BROKER` Überwachungsebene bietet detailliertere Einblicke in die Leistung Ihres MSK-Clusters und bietet auch Metriken zur Ressourcennutzung, z. B. zur CPU- und Speicherauslastung. Auf diese Weise können Sie Leistungsengpässe und Ressourcennutzungsmuster für einzelne Themen und Broker identifizieren. Diese Transparenz kann wiederum die Leistung Ihrer Kafka-Broker optimieren.

### Abhilfe
<a name="msk-2-remediation"></a>

Gehen Sie wie folgt vor, um die erweiterte Überwachung für einen MSK-Cluster zu konfigurieren:

1. Die Amazon MSK-Konsole zu [https://console.aws.amazon.com/msk/Hause öffnen? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).

1. Klicken Sie im Navigationsbereich auf **Cluster**. Wählen Sie dann einen Cluster aus.

1. Wählen Sie für **Aktion** die Option **Überwachung bearbeiten** aus.

1. Wählen Sie die Option für **Erweiterte Überwachung auf Themenebene** aus.

1. Wählen Sie **Änderungen speichern ** aus.

Weitere Informationen zu Überwachungsebenen finden Sie unter [Amazon MSK-Metriken für die Überwachung von Standard-Brokern mit CloudWatch](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html) im *Amazon Managed Streaming for Apache Kafka Developer Guide*.

## [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
<a name="msk-3"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/4.2.1

**Kategorie: Schützen > Datenschutz >** Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::KafkaConnect::Connector`

**AWS Config Regel:** `msk-connect-connector-encrypted` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Diese Kontrolle prüft, ob ein Amazon MSK Connect-Konnektor während der Übertragung verschlüsselt ist. Diese Kontrolle schlägt fehl, wenn der Connector bei der Übertragung nicht verschlüsselt wird.

Daten während der Übertragung beziehen sich auf Daten, die von einem Ort an einen anderen übertragen werden, z. B. zwischen Knoten in Ihrem Cluster oder zwischen Ihrem Cluster und Ihrer Anwendung. Daten können über das Internet oder innerhalb eines privaten Netzwerks übertragen werden. Durch die Verschlüsselung von Daten während der Übertragung wird das Risiko verringert, dass ein nicht autorisierter Benutzer den Netzwerkverkehr abhören kann.

### Abhilfe
<a name="msk-3-remediation"></a>

Sie können die Verschlüsselung bei der Übertragung aktivieren, wenn Sie einen MSK Connect-Connector erstellen. Sie können die Verschlüsselungseinstellungen nach dem Erstellen eines Connectors nicht ändern. Weitere Informationen finden Sie unter [Create a Connector](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html) im *Amazon Managed Streaming for Apache Kafka Developer Guide*.

## [MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein
<a name="msk-4"></a>

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Ressource nicht öffentlich zugänglich

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::MSK::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob der öffentliche Zugriff für einen Amazon MSK-Cluster deaktiviert ist. Die Kontrolle schlägt fehl, wenn der öffentliche Zugriff für den MSK-Cluster aktiviert ist.

Standardmäßig können Clients nur dann auf einen Amazon MSK-Cluster zugreifen, wenn sie sich in derselben VPC wie der Cluster befinden. Die gesamte Kommunikation zwischen Kafka-Clients und einem MSK-Cluster ist standardmäßig privat und Streaming-Daten werden nicht über das Internet übertragen. Wenn ein MSK-Cluster jedoch so konfiguriert ist, dass er öffentlichen Zugriff zulässt, kann jeder im Internet eine Verbindung zu Apache Kafka-Brokern herstellen, die innerhalb des Clusters ausgeführt werden. Dies kann zu Problemen wie unberechtigtem Zugriff, Datenschutzverletzungen oder der Ausnutzung von Sicherheitslücken führen. Wenn Sie den Zugriff auf einen Cluster einschränken, indem Sie Authentifizierungs- und Autorisierungsmaßnahmen vorschreiben, können Sie dazu beitragen, vertrauliche Informationen zu schützen und die Integrität Ihrer Ressourcen aufrechtzuerhalten.

### Abhilfe
<a name="msk-4-remediation"></a>

Informationen zur Verwaltung des öffentlichen Zugriffs auf einen Amazon MSK-Cluster finden Sie unter [Aktivieren des öffentlichen Zugriffs auf einen von MSK bereitgestellten Cluster](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html) im *Amazon Managed Streaming for Apache Kafka* Developer Guide.

## [MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein
<a name="msk-5"></a>

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::KafkaConnect::Connector`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Protokollierung für einen Amazon MSK-Connector aktiviert ist. Die Steuerung schlägt fehl, wenn die Protokollierung für den MSK-Connector deaktiviert ist.

Amazon MSK-Konnektoren integrieren externe Systeme und Amazon-Services mit Apache Kafka, indem sie kontinuierlich Streaming-Daten aus einer Datenquelle in einen Apache Kafka-Cluster oder kontinuierlich Daten aus einem Cluster in eine Datensenke kopieren. MSK Connect kann Protokollereignisse schreiben, die beim Debuggen eines Connectors helfen können. Wenn Sie einen Connector erstellen, können Sie null oder mehr der folgenden Protokollziele angeben: Amazon CloudWatch Logs, Amazon S3 und Amazon Data Firehose.

**Anmerkung**  
Vertrauliche Konfigurationswerte können in Konnektor-Protokollen erscheinen, wenn ein Plugin diese Werte nicht als Secret definiert. Kafka Connect behandelt undefinierte Konfigurationswerte genauso wie jeden anderen Klartext-Wert.

### Abhilfe
<a name="msk-5-remediation"></a>

Um die Protokollierung für einen vorhandenen Amazon MSK-Connector zu aktivieren, müssen Sie den Connector mit der entsprechenden Protokollierungskonfiguration neu erstellen. Informationen zu Konfigurationsoptionen finden Sie unter [Logging for MSK Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) im *Amazon Managed Streaming for Apache Kafka Developer Guide*.

## [MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren
<a name="msk-6"></a>

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::MSK::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob der nicht authentifizierte Zugriff für einen Amazon MSK-Cluster aktiviert ist. Die Kontrolle schlägt fehl, wenn der nicht authentifizierte Zugriff für den MSK-Cluster aktiviert ist.

Amazon MSK unterstützt Client-Authentifizierungs- und Autorisierungsmechanismen, um den Zugriff auf einen Cluster zu kontrollieren. Diese Mechanismen überprüfen die Identität der Clients, die sich mit dem Cluster verbinden, und bestimmen, welche Aktionen Clients ausführen können. Ein MSK-Cluster kann so konfiguriert werden, dass er nicht authentifizierten Zugriff ermöglicht, sodass jeder Client mit Netzwerkkonnektivität Kafka-Themen veröffentlichen und abonnieren kann, ohne Anmeldeinformationen angeben zu müssen. Das Ausführen eines MSK-Clusters ohne Authentifizierung verstößt gegen das Prinzip der geringsten Rechte und kann den Cluster unberechtigtem Zugriff aussetzen. Es kann jedem Client ermöglichen, auf Daten in Kafka-Themen zuzugreifen, diese zu ändern oder zu löschen, was möglicherweise zu Datenschutzverletzungen, unbefugten Datenänderungen oder Dienstunterbrechungen führen kann. Wir empfehlen, Authentifizierungsmechanismen wie IAM-Authentifizierung, SASL/SCRAM oder Mutual TLS zu aktivieren, um eine angemessene Zugriffskontrolle zu gewährleisten und die Einhaltung der Sicherheitsbestimmungen zu gewährleisten.

### Abhilfe
<a name="msk-6-remediation"></a>

Informationen zum Ändern der Authentifizierungseinstellungen für einen Amazon MSK-Cluster finden Sie in den folgenden Abschnitten des *Amazon Managed Streaming for Apache Kafka Developer Guide*: [Sicherheitseinstellungen eines Amazon MSK-Clusters aktualisieren und [Authentifizierung und Autorisierung für](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html) Apache Kafka](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html). APIs

# Security Hub CSPM-Steuerelemente für Amazon MQ
<a name="mq-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon MQ. Die Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
<a name="mq-2"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 AU-2, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-12, NIst.800-53.R5 SI-4, PCI DSS v4.0.1/10.3.3

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::AmazonMQ::Broker`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon MQ ActiveMQ-Broker Auditprotokolle an Amazon Logs streamt. CloudWatch Die Kontrolle schlägt fehl, wenn der Broker keine Auditprotokolle in Logs streamt. CloudWatch 

Durch die Veröffentlichung von CloudWatch ActiveMQ-Broker-Protokollen in Logs können Sie CloudWatch Alarme und Metriken erstellen, die die Sichtbarkeit sicherheitsrelevanter Informationen erhöhen.

### Abhilfe
<a name="mq-2-remediation"></a>

*Informationen zum Streamen von CloudWatch ActiveMQ-Broker-Protokollen in Logs finden Sie unter [Konfiguration von Amazon MQ für ActiveMQ-Protokolle im Amazon MQ Developer](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html) Guide.*

## [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein
<a name="mq-3"></a>

**Wichtig**  
Security Hub CSPM hat diese Kontrolle im Januar 2026 eingestellt. Weitere Informationen finden Sie unter [Änderungsprotokoll für Security Hub CSPM-Steuerelemente](controls-change-log.md).

**Verwandte Anforderungen:** NIST.800-53.R5 CM-3, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/6.3.3

**Kategorie**: Identifizieren > Schwachstellen-, Patch- und Versionsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::AmazonMQ::Broker`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob bei einem Amazon MQ-Broker das automatische Upgrade für Nebenversionen aktiviert ist. Die Kontrolle schlägt fehl, wenn der Broker das automatische Upgrade der Nebenversion nicht aktiviert hat.

Da Amazon MQ neue Broker-Engine-Versionen veröffentlicht und unterstützt, sind die Änderungen abwärtskompatibel mit einer vorhandenen Anwendung und verwerfen keine bestehenden Funktionen. Automatische Versionsupdates der Broker Engine schützen Sie vor Sicherheitsrisiken, helfen bei der Behebung von Fehlern und verbessern die Funktionalität.

**Anmerkung**  
Wenn der Broker, der mit dem automatischen Upgrade einer Nebenversion verknüpft ist, seinen neuesten Patch installiert hat und nicht mehr unterstützt wird, müssen Sie für das Upgrade manuelle Maßnahmen ergreifen.

### Abhilfe
<a name="mq-3-remediation"></a>

Informationen zur Aktivierung des automatischen Upgrades der Nebenversion für einen MQ-Broker finden Sie unter [Automatisches Upgrade der Nebenversion der Engine](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html) im *Amazon MQ Developer Guide*.

## [MQ.4] Amazon MQ-Broker sollten markiert werden
<a name="mq-4"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::AmazonMQ::Broker`

**AWS Config Regel:** `tagged-amazonmq-broker` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein Amazon MQ-Broker über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn der Broker keine Tag-Schlüssel hat oder wenn er nicht über alle im Parameter `requiredTagKeys` angegebenen Schlüssel verfügt. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Broker mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="mq-4-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Amazon MQ-Broker finden Sie unter [Tagging resources](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html) im *Amazon MQ* Developer Guide.

## [MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby
<a name="mq-5"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::AmazonMQ::Broker`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob der Bereitstellungsmodus für einen Amazon MQ ActiveMQ-Broker auf Aktiv/Standby eingestellt ist. Die Steuerung schlägt fehl, wenn ein Single-Instance-Broker (standardmäßig aktiviert) als Bereitstellungsmodus festgelegt ist.

Die Aktiv-/Standby-Bereitstellung bietet Hochverfügbarkeit für Ihre Amazon MQ ActiveMQ-Broker in einem. AWS-Region Der Aktiv-/Standby-Bereitstellungsmodus umfasst zwei Broker-Instances in zwei verschiedenen Availability Zones, die in einem redundanten Paar konfiguriert sind. Diese Broker kommunizieren synchron mit Ihrer Anwendung, wodurch Ausfallzeiten und Datenverluste im Falle eines Fehlers reduziert werden können.

### Abhilfe
<a name="mq-5-remediation"></a>

Informationen zum Erstellen eines neuen ActiveMQ-Brokers mit active/standby Bereitstellungsmodus finden Sie unter [Erstellen und Konfigurieren eines ActiveMQ-Brokers im *Amazon* MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html) Developer Guide. **Wählen Sie für den **Bereitstellungsmodus** „Active/Standby Broker“.** Sie können den Bereitstellungsmodus für einen vorhandenen Broker nicht ändern. Stattdessen müssen Sie einen neuen Broker erstellen und die Einstellungen aus dem alten Broker kopieren.

## [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
<a name="mq-6"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::AmazonMQ::Broker`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob der Bereitstellungsmodus für einen Amazon MQ RabbitMQ-Broker auf Cluster-Bereitstellung eingestellt ist. Die Steuerung schlägt fehl, wenn ein Single-Instance-Broker (standardmäßig aktiviert) als Bereitstellungsmodus festgelegt ist.

Die Cluster-Bereitstellung bietet Hochverfügbarkeit für Ihre Amazon MQ RabbitMQ-Broker in einem. AWS-Region Die Cluster-Bereitstellung ist eine logische Gruppierung von drei RabbitMQ-Broker-Knoten, von denen jeder über ein eigenes Amazon Elastic Block Store (Amazon EBS) -Volume und einen gemeinsamen Status verfügt. Die Cluster-Bereitstellung stellt sicher, dass Daten auf alle Knoten im Cluster repliziert werden, wodurch Ausfallzeiten und Datenverluste im Falle eines Fehlers reduziert werden können.

### Abhilfe
<a name="mq-6-remediation"></a>

*Informationen zum Erstellen eines neuen RabbitMQ-Brokers mit Cluster-Bereitstellungsmodus finden Sie unter [Erstellen und Herstellen einer Verbindung zu einem RabbitMQ-Broker im Amazon MQ Developer Guide](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html).* ****Wählen Sie für den Bereitstellungsmodus die Option Cluster-Bereitstellung.**** Sie können den Bereitstellungsmodus für einen vorhandenen Broker nicht ändern. Stattdessen müssen Sie einen neuen Broker erstellen und die Einstellungen aus dem alten Broker kopieren.

# Security Hub CSPM-Steuerungen für Neptune
<a name="neptune-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Neptune.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
<a name="neptune-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Neptune-DB-Cluster im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn ein Neptune-DB-Cluster im Ruhezustand nicht verschlüsselt ist.

Daten im Ruhezustand beziehen sich auf alle Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch Verschlüsselung können Sie die Vertraulichkeit solcher Daten schützen und so das Risiko verringern, dass ein unberechtigter Benutzer darauf zugreifen kann. Die Verschlüsselung Ihrer Neptune-DB-Cluster schützt Ihre Daten und Metadaten vor unbefugtem Zugriff. Es erfüllt auch die Compliance-Anforderungen für die data-at-rest Verschlüsselung von Produktionsdateisystemen.

### Abhilfe
<a name="neptune-1-remediation"></a>

Sie können die Verschlüsselung im Ruhezustand aktivieren, wenn Sie einen Neptune-DB-Cluster erstellen. Sie können die Verschlüsselungseinstellungen nach dem Erstellen eines Clusters nicht ändern. Weitere Informationen finden Sie unter [Encrypting Neptune resources at rest im](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html) *Neptune-Benutzerhandbuch*.

## [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
<a name="neptune-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-20, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-4 (5), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob ein Neptune-DB-Cluster Audit-Logs in Amazon CloudWatch Logs veröffentlicht. Die Steuerung schlägt fehl, wenn ein Neptune-DB-Cluster keine Audit-Logs in Logs veröffentlicht. CloudWatch `EnableCloudWatchLogsExport`sollte auf eingestellt sein. `Audit`

Amazon Neptune und Amazon CloudWatch sind integriert, sodass Sie Leistungskennzahlen sammeln und analysieren können. Neptune sendet automatisch Messwerte an Alarme CloudWatch und unterstützt CloudWatch diese auch. Audit-Logs sind hochgradig anpassbar. Wenn Sie eine Datenbank prüfen, kann jeder Vorgang an den Daten überwacht und in einem Audit-Trail protokolliert werden, einschließlich Informationen darüber, auf welchen Datenbankcluster zugegriffen wird und wie. Wir empfehlen, diese Protokolle an zu senden, CloudWatch um Ihnen bei der Überwachung Ihrer Neptune-DB-Cluster zu helfen.

### Abhilfe
<a name="neptune-2-remediation"></a>

*Informationen zum Veröffentlichen von Neptune-Audit-Logs in CloudWatch Logs finden Sie unter [Neptune-Logs in Amazon CloudWatch Logs veröffentlichen](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html) im Neptune-Benutzerhandbuch.* **Wählen Sie im Abschnitt **Protokollexporte die Option Audit** aus.**

## [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
<a name="neptune-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS NIST.800-53.r5 SC-7 v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::RDS::DBClusterSnapshot`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein manueller Neptune-DB-Cluster-Snapshot öffentlich ist. Die Steuerung schlägt fehl, wenn ein manueller Neptune-DB-Cluster-Snapshot öffentlich ist.

Ein manueller Snapshot eines Neptune-DB-Clusters sollte nicht öffentlich sein, es sei denn, dies ist beabsichtigt. Wenn Sie einen unverschlüsselten manuellen Snapshot als öffentlich freigeben, ist der Snapshot für alle verfügbar. AWS-KontenÖffentliche Schnappschüsse können zu einer unbeabsichtigten Offenlegung von Daten führen.

### Abhilfe
<a name="neptune-3-remediation"></a>

Informationen zum Entfernen des öffentlichen Zugriffs für manuelle Neptune-DB-Cluster-Snapshots finden Sie unter [Freigeben eines DB-Cluster-Snapshots](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html) im *Neptune-Benutzerhandbuch*.

## [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
<a name="neptune-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Kategorie:** Schützen > Datenschutz > Schutz vor Datenlöschung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob in einem Neptune-DB-Cluster der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn für einen Neptune-DB-Cluster kein Löschschutz aktiviert ist.

Die Aktivierung des Cluster-Löschschutzes bietet eine zusätzliche Schutzebene vor dem versehentlichen Löschen von Datenbanken oder vor dem Löschen durch einen nicht autorisierten Benutzer. Ein Neptune-DB-Cluster kann nicht gelöscht werden, solange der Löschschutz aktiviert ist. Sie müssen zuerst den Löschschutz deaktivieren, bevor eine Löschanfrage erfolgreich sein kann.

### Abhilfe
<a name="neptune-4-remediation"></a>

Informationen zum Aktivieren des Löschschutzes für einen vorhandenen Neptune-DB-Cluster finden Sie unter [Ändern des DB-Clusters mithilfe der Konsole, der CLI und der API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings) im *Amazon Aurora Aurora-Benutzerhandbuch*.

## [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
<a name="neptune-5"></a>

**Verwandte Anforderungen: NIST.800-53.R5** SI-12

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Backups aktiviert

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  Minimale Aufbewahrungsdauer für Backups in Tagen  |  Ganzzahl  |  `7` auf `35`  |  `7`  | 

Dieses Steuerelement prüft, ob in einem Neptune-DB-Cluster automatische Backups aktiviert sind und ob die Aufbewahrungsfrist für Backups größer oder gleich dem angegebenen Zeitraum ist. Die Kontrolle schlägt fehl, wenn Backups für den Neptune-DB-Cluster nicht aktiviert sind oder wenn die Aufbewahrungszeit kürzer als der angegebene Zeitrahmen ist. Sofern Sie keinen benutzerdefinierten Parameterwert für die Aufbewahrungsdauer von Backups angeben, verwendet Security Hub CSPM einen Standardwert von 7 Tagen.

Backups helfen Ihnen, sich nach einem Sicherheitsvorfall schneller zu erholen und die Widerstandsfähigkeit Ihrer Systeme zu stärken. Durch die Automatisierung von Backups für Ihre Neptune-DB-Cluster können Sie Ihre Systeme bis zu einem bestimmten Zeitpunkt wiederherstellen und Ausfallzeiten und Datenverluste minimieren. 

### Abhilfe
<a name="neptune-5-remediation"></a>

Informationen zur Aktivierung automatisierter Backups und zur Festlegung einer Aufbewahrungsfrist für Backups für Ihre Neptune-DB-Cluster finden Sie unter [Automatisierte Backups aktivieren](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) im *Amazon RDS-Benutzerhandbuch*. Wählen Sie für den **Aufbewahrungszeitraum für Backup** einen Wert größer oder gleich 7.

## [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
<a name="neptune-6"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-7 (18) NIST.800-53.r5 SC-7

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBClusterSnapshot`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Neptune-DB-Cluster-Snapshot im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn ein Neptune-DB-Cluster im Ruhezustand nicht verschlüsselt ist.

Daten im Ruhezustand beziehen sich auf alle Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch Verschlüsselung können Sie die Vertraulichkeit solcher Daten schützen und so das Risiko verringern, dass ein nicht autorisierter Benutzer darauf zugreifen kann. Daten in Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten.

### Abhilfe
<a name="neptune-6-remediation"></a>

Sie können einen vorhandenen Neptune-DB-Cluster-Snapshot nicht verschlüsseln. Stattdessen müssen Sie den Snapshot in einem neuen DB-Cluster wiederherstellen und die Verschlüsselung auf dem Cluster aktivieren. Sie können einen verschlüsselten Snapshot aus dem verschlüsselten Cluster erstellen. Anweisungen finden Sie unter [Wiederherstellung aus einem DB-Cluster-Snapshot](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html) und [Erstellen eines DB-Cluster-Snapshots in Neptune im *Neptune-Benutzerhandbuch*](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html).

## [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein
<a name="neptune-7"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 ( NIST.800-53.r5 AC-37), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob in einem Neptune-DB-Cluster die IAM-Datenbankauthentifizierung aktiviert ist. Die Steuerung schlägt fehl, wenn die IAM-Datenbankauthentifizierung für einen Neptune-DB-Cluster nicht aktiviert ist.

Die IAM-Datenbankauthentifizierung für Amazon Neptune Neptune-Datenbankcluster macht das Speichern von Benutzeranmeldeinformationen in der Datenbankkonfiguration überflüssig, da die Authentifizierung extern mithilfe von IAM verwaltet wird. Wenn die IAM-Datenbankauthentifizierung aktiviert ist, muss jede Anfrage mit Signature Version 4 signiert werden. AWS 

### Abhilfe
<a name="neptune-7-remediation"></a>

Standardmäßig ist die IAM-Datenbankauthentifizierung deaktiviert, wenn Sie einen Neptune-DB-Cluster erstellen. Informationen zur [Aktivierung finden Sie unter Aktivieren der IAM-Datenbankauthentifizierung in Neptune im *Neptune-Benutzerhandbuch*](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html).

## [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
<a name="neptune-8"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

**Kategorie**: Identifizieren > Inventar > Etikettieren

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Neptune-DB-Cluster so konfiguriert ist, dass er alle Tags in Snapshots kopiert, wenn die Snapshots erstellt werden. Die Steuerung schlägt fehl, wenn ein Neptune-DB-Cluster nicht so konfiguriert ist, dass er Tags in Snapshots kopiert.

Die Identifizierung und Inventarisierung Ihrer IT-Ressourcen ist ein entscheidender Aspekt der Unternehmensführung und Sicherheit. Sie sollten Snapshots auf die gleiche Weise kennzeichnen wie ihre übergeordneten Amazon RDS-Datenbankcluster. Durch das Kopieren von Tags wird sichergestellt, dass die Metadaten für die DB-Snapshots mit denen der übergeordneten Datenbankcluster übereinstimmen und dass die Zugriffsrichtlinien für den DB-Snapshot auch mit denen der übergeordneten DB-Instance übereinstimmen. 

### Abhilfe
<a name="neptune-8-remediation"></a>

*Informationen zum Kopieren von Tags in Snapshots für Neptune-DB-Cluster finden Sie unter [Kopieren von Tags in Neptune im Neptune-Benutzerhandbuch](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview).*

## [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
<a name="neptune-9"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html) 

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob ein Amazon Neptune Neptune-DB-Cluster über Read-Replica-Instances in mehreren Availability Zones () verfügt. AZs Die Steuerung schlägt fehl, wenn der Cluster nur in einer AZ bereitgestellt wird.

Wenn eine AZ nicht verfügbar ist und während regelmäßiger Wartungsereignisse, dienen Read-Replicas als Failover-Ziele für die primäre Instanz. Wenn die primäre Instance ausfällt, stuft Neptune eine Read-Replica-Instance zur primären Instance herauf. Wenn Ihr DB-Cluster keine Read-Replica-Instances enthält, ist Ihr DB-Cluster bei einem Ausfall der primären Instance solange nicht verfügbar, bis sie neu erstellt wurde. Die Neuerstellung der primären Instance dauert erheblich länger als die Heraufstufung einer Read-Replica-Instance. Um eine hohe Verfügbarkeit zu gewährleisten, empfehlen wir, eine oder mehrere Read-Replica-Instances zu erstellen, die dieselbe DB-Instance-Klasse wie die primäre Instance haben und sich in einer anderen als der primären Instance befinden. AZs 

### Abhilfe
<a name="neptune-9-remediation"></a>

*Informationen zur Bereitstellung eines Neptune-DB-Clusters in mehreren AZs finden Sie unter [Read-Replica-DB-Instances in einem Neptune-DB-Cluster im Neptune-Benutzerhandbuch](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas).*

# Security Hub CSPM-Steuerungen für AWS Network Firewall
<a name="networkfirewall-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS Network Firewall Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden
<a name="networkfirewall-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::NetworkFirewall::Firewall`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement bewertet, ob eine über mehrere Availability Zones verwaltete Firewall in mehreren Availability Zones (AZs) bereitgestellt AWS Network Firewall wird. Die Steuerung schlägt fehl, wenn eine Firewall nur in einer AZ bereitgestellt wird.

AWS Die globale Infrastruktur umfasst mehrere AWS-Regionen. AZs sind physisch getrennte, isolierte Standorte innerhalb jeder Region, die durch Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Durch die Bereitstellung einer Netzwerk-Firewall-Firewall auf mehreren AZs Ebenen können Sie den Datenverkehr verteilen und zwischen diesen verlagern AZs, was Ihnen bei der Entwicklung hochverfügbarer Lösungen hilft.

### Abhilfe
<a name="networkfirewall-1-remediation"></a>

**Bereitstellung einer Netzwerk-Firewall-Firewall über mehrere AZs**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich unter **Network Firewall** die Option **Firewalls** aus.

1. Wählen Sie auf der Seite **Firewalls** die Firewall aus, die Sie bearbeiten möchten.

1. Wählen Sie auf der Seite mit den Firewall-Details die Registerkarte **Firewall-Details** aus.

1. **Wählen Sie im Abschnitt **Verknüpfte Richtlinie und VPC** die Option Bearbeiten**

1. Um eine neue AZ hinzuzufügen, wählen Sie **Neues Subnetz hinzufügen**. Wählen Sie die AZ und das Subnetz aus, die Sie verwenden möchten. Stellen Sie sicher, dass Sie mindestens zwei AZs auswählen.

1. Wählen Sie **Speichern**.

## [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
<a name="networkfirewall-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), NIST.800-171.R2 3.1.20, NIST.800-171.20, NIST.800-171.20 R2 3,13,1

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::NetworkFirewall::LoggingConfiguration`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Protokollierung für eine AWS Network Firewall Firewall aktiviert ist. Die Steuerung schlägt fehl, wenn die Protokollierung für mindestens einen Protokolltyp nicht aktiviert ist oder wenn das Protokollierungsziel nicht existiert.

Mithilfe der Protokollierung können Sie die Zuverlässigkeit, Verfügbarkeit und Leistung Ihrer Firewalls aufrechterhalten. In der Network Firewall bietet Ihnen die Protokollierung detaillierte Informationen über den Netzwerkverkehr, einschließlich der Uhrzeit, zu der die Stateful-Engine einen Paketfluss empfangen hat, detaillierte Informationen über den Paketfluss und alle statusbehafteten Regelaktionen, die gegen den Paketfluss ergriffen wurden.

### Abhilfe
<a name="networkfirewall-2-remediation"></a>

Informationen zum Aktivieren der Protokollierung für eine Firewall finden Sie unter [Aktualisieren der Protokollierungskonfiguration einer Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html) im *AWS Network Firewall Entwicklerhandbuch*.

## [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben
<a name="networkfirewall-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.13.1

**Kategorie**: Schützen > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob einer Netzwerk-Firewall-Richtlinie statusbehaftete oder statuslose Regelgruppen zugeordnet sind. Die Steuerung schlägt fehl, wenn keine statusfreien oder statusbehafteten Regelgruppen zugewiesen werden.

Eine Firewall-Richtlinie definiert, wie Ihre Firewall den Verkehr in Amazon Virtual Private Cloud (Amazon VPC) überwacht und verarbeitet. Die Konfiguration von statusfreien und statusbehafteten Regelgruppen hilft beim Filtern von Paketen und Datenströmen und definiert die standardmäßige Verarbeitung des Datenverkehrs.

### Abhilfe
<a name="networkfirewall-3-remediation"></a>

Informationen zum Hinzufügen einer Regelgruppe zu einer Netzwerk-Firewall-Richtlinie finden Sie unter [Aktualisieren einer Firewall-Richtlinie](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) im *AWS Network Firewall Entwicklerhandbuch*. Informationen zum Erstellen und Verwalten von Regelgruppen finden Sie unter [Regelgruppen in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).

## [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein
<a name="networkfirewall-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

**Kategorie**: Schützen > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe`(nicht anpassbar)

Dieses Steuerelement überprüft, ob die standardmäßige statuslose Aktion für vollständige Pakete für eine Netzwerkfirewall-Richtlinie Drop oder Forward ist. Die Steuerung ist erfolgreich, wenn `Drop` oder ausgewählt `Forward` ist, und schlägt fehl, wenn sie ausgewählt `Pass` ist.

Eine Firewall-Richtlinie definiert, wie Ihre Firewall den Verkehr in Amazon VPC überwacht und verarbeitet. Sie konfigurieren statusfreie und statusbehaftete Regelgruppen, um Pakete und Datenverkehrsströme zu filtern. Die Standardeinstellung `Pass` kann unbeabsichtigten Datenverkehr zulassen.

### Abhilfe
<a name="networkfirewall-4-remediation"></a>

*Informationen zum Ändern Ihrer Firewall-Richtlinie finden Sie unter [Aktualisieren einer Firewall-Richtlinie im AWS Network Firewall Entwicklerhandbuch](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html).* Wählen Sie für **Standardaktionen ohne Status** die Option **Bearbeiten** aus. **Wählen Sie dann als Aktion „**Löschen**“ oder „**An statusbehaftete Regelgruppen weiterleiten**“.**

## [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.
<a name="networkfirewall-5"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-171.R2 3.1.3, NIST.800-171.r2 3.1.14, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.13.6

**Kategorie**: Schützen > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe`(nicht anpassbar)

Dieses Steuerelement überprüft, ob die standardmäßige statuslose Aktion für fragmentierte Pakete für eine Netzwerkfirewall-Richtlinie Drop oder Forward ist. Die Steuerung ist erfolgreich, wenn `Drop` oder ausgewählt `Forward` ist, und schlägt fehl, wenn sie ausgewählt `Pass` ist.

Eine Firewall-Richtlinie definiert, wie Ihre Firewall den Verkehr in Amazon VPC überwacht und verarbeitet. Sie konfigurieren statusfreie und statusbehaftete Regelgruppen, um Pakete und Datenverkehrsströme zu filtern. Die Standardeinstellung `Pass` kann unbeabsichtigten Datenverkehr zulassen.

### Abhilfe
<a name="networkfirewall-5-remediation"></a>

*Informationen zum Ändern Ihrer Firewall-Richtlinie finden Sie unter [Aktualisieren einer Firewall-Richtlinie im AWS Network Firewall Entwicklerhandbuch](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html).* Wählen Sie für **Standardaktionen ohne Status** die Option **Bearbeiten** aus. **Wählen Sie dann als Aktion „**Löschen**“ oder „**An statusbehaftete Regelgruppen weiterleiten**“.**

## [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
<a name="networkfirewall-6"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.14, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.13.6

**Kategorie**: Schützen > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::NetworkFirewall::RuleGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine statuslose Regelgruppe Regeln AWS Network Firewall enthält. Das Steuerelement schlägt fehl, wenn die Regelgruppe keine Regeln enthält.

Eine Regelgruppe enthält Regeln, die definieren, wie Ihre Firewall den Verkehr in Ihrer VPC verarbeitet. Eine leere statuslose Regelgruppe kann, wenn sie in einer Firewallrichtlinie vorhanden ist, den Eindruck erwecken, dass die Regelgruppe den Datenverkehr verarbeitet. Wenn die statuslose Regelgruppe jedoch leer ist, verarbeitet sie keinen Datenverkehr.

### Abhilfe
<a name="networkfirewall-6-remediation"></a>

Informationen zum Hinzufügen von Regeln zu Ihrer Netzwerk-Firewall-Regelgruppe finden Sie unter [Aktualisieren einer statusbehafteten Regelgruppe](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html) im *AWS Network Firewall Entwicklerhandbuch*. Wählen Sie auf der Seite mit den Firewall-Details für **Stateless Rule Group** die Option **Bearbeiten** aus, um Regeln hinzuzufügen.

## [NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden
<a name="networkfirewall-7"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::NetworkFirewall::Firewall`

**AWS Config Regel:** `tagged-networkfirewall-firewall` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine AWS Network Firewall Firewall über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn die Firewall keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Firewall mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="networkfirewall-7-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Netzwerk-Firewall-Firewall finden Sie unter [Tagging AWS Network Firewall resources](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) im *AWS Network Firewall Developer Guide*.

## [NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden
<a name="networkfirewall-8"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config Regel:** `tagged-networkfirewall-firewallpolicy` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine AWS Network Firewall Firewall-Richtlinie Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die Firewall-Richtlinie keine Tagschlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Firewall-Richtlinie mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="networkfirewall-8-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Netzwerk-Firewall-Richtlinie finden Sie unter [Tagging AWS Network Firewall resources](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) im *AWS Network Firewall Developer Guide*.

## [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
<a name="networkfirewall-9"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategorie:** Schützen > Netzwerksicherheit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::NetworkFirewall::Firewall`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für eine AWS Network Firewall Firewall der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn der Löschschutz für eine Firewall nicht aktiviert ist.

AWS Network Firewall ist ein zustandsorientierter, verwalteter Dienst zur Netzwerk-Firewall und Erkennung von Eindringlingen, mit dem Sie den Datenverkehr zu, von oder zwischen Ihren Virtual Private Clouds () VPCs überprüfen und filtern können. Die Löschschutzeinstellung schützt vor versehentlichem Löschen der Firewall.

### Abhilfe
<a name="networkfirewall-9-remediation"></a>

Informationen zum Aktivieren des Löschschutzes für eine bestehende Netzwerk-Firewall-Firewall finden Sie unter [Aktualisieren einer Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) im *AWS Network Firewall Entwicklerhandbuch*. Wählen **Sie unter Änderungsschutz** die Option **Aktivieren** aus. Sie können den Löschschutz auch aktivieren, indem Sie die [ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API aufrufen und das `DeleteProtection` Feld auf setzen. `true`

## [NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein
<a name="networkfirewall-10"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategorie:** Schützen > Netzwerksicherheit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::NetworkFirewall::Firewall`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob der Subnetz-Änderungsschutz für eine AWS Network Firewall Firewall aktiviert ist. Die Steuerung schlägt fehl, wenn der Subnetzänderungsschutz für die Firewall nicht aktiviert ist.

AWS Network Firewall ist ein zustandsorientierter, verwalteter Dienst zur Netzwerk-Firewall und zur Erkennung von Eindringlingen, mit dem Sie den Datenverkehr zu, von oder zwischen Ihren Virtual Private Clouds () untersuchen und filtern können. VPCs Wenn Sie den Subnetzänderungsschutz für eine Netzwerkfirewall-Firewall aktivieren, können Sie die Firewall vor versehentlichen Änderungen an den Subnetzzuordnungen der Firewall schützen.

### Abhilfe
<a name="networkfirewall-10-remediation"></a>

Informationen zur Aktivierung des Subnetzänderungsschutzes für eine bestehende Netzwerkfirewall-Firewall finden Sie unter [Aktualisieren einer Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) im *AWS Network Firewall Entwicklerhandbuch*.

# Security Hub CSPM-Steuerungen für Amazon Service OpenSearch
<a name="opensearch-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den OpenSearch Service und die Ressourcen von Amazon OpenSearch Service (Service). Die Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
<a name="opensearch-1"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, (1), 3, 8, 8 (1), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::OpenSearch::Domain`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für OpenSearch Domänen die encryption-at-rest Konfiguration aktiviert ist. Die Prüfung schlägt fehl, wenn die Verschlüsselung im Ruhezustand nicht aktiviert ist.

Für eine zusätzliche Sicherheitsebene für vertrauliche Daten sollten Sie Ihre OpenSearch Service-Domain so konfigurieren, dass sie im Ruhezustand verschlüsselt wird. Wenn Sie die Verschlüsselung von Daten im Ruhezustand konfigurieren, AWS KMS werden Ihre Verschlüsselungsschlüssel gespeichert und verwaltet. Für die Verschlüsselung wird der Advanced Encryption Standard-Algorithmus mit 256-Bit-Schlüsseln (AES-256) AWS KMS verwendet.

Weitere Informationen zur OpenSearch Service-Verschlüsselung im Ruhezustand finden Sie unter [Verschlüsselung ruhender Daten für Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) im *Amazon OpenSearch Service* *Developer Guide*.

### Abhilfe
<a name="opensearch-1-remediation"></a>

Informationen zur Aktivierung der Verschlüsselung im Ruhezustand für neue und bestehende OpenSearch Domains finden Sie unter [Enabling encryption of data at rest](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) im *Amazon OpenSearch Service Developer Guide*.

## [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein
<a name="opensearch-2"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7),, (21),, (11) NIST.800-53.r5 AC-3, (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20), (21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen in VPC

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::OpenSearch::Domain`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob sich OpenSearch Domänen in einer VPC befinden. Es bewertet nicht die Konfiguration des VPC-Subnetz-Routings, um den öffentlichen Zugriff zu bestimmen.

Sie sollten sicherstellen, dass OpenSearch Domänen nicht an öffentliche Subnetze angehängt sind. Informationen zu [ressourcenbasierten Richtlinien](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) finden Sie im Amazon OpenSearch Service Developer Guide. Sie sollten auch sicherstellen, dass Ihre VPC gemäß den empfohlenen bewährten Methoden konfiguriert ist. [Bewährte Sicherheitsmethoden für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) finden Sie im Amazon VPC-Benutzerhandbuch.

OpenSearch Domänen, die in einer VPC bereitgestellt werden, können über das private AWS Netzwerk mit VPC-Ressourcen kommunizieren, ohne das öffentliche Internet durchqueren zu müssen. Diese Konfiguration erhöht das Sicherheitsniveau, indem der Zugriff auf die Daten während der Übertragung eingeschränkt wird. VPCs bieten eine Reihe von Netzwerkkontrollen, um den Zugriff auf OpenSearch Domänen zu sichern, einschließlich Netzwerk-ACL und Sicherheitsgruppen. Security Hub empfiehlt, öffentliche OpenSearch Domains zu migrieren, VPCs um diese Kontrollen nutzen zu können.

### Abhilfe
<a name="opensearch-2-remediation"></a>

Wenn Sie eine Domäne mit einem öffentlichen Endpunkt erstellen, können Sie sie später nicht in einer VPC platzieren. Sie müssen stattdessen eine neue Domäne erstellen und die Daten übernehmen. Umgekehrt gilt dies auch. Wenn Sie eine Domäne innerhalb einer VPC erstellen, kann sie keinen öffentlichen Endpunkt haben. Stattdessen müssen Sie entweder [eine andere Domäne erstellen](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains) oder dieses Steuerelement deaktivieren.

Anweisungen finden Sie unter [Starten Ihrer Amazon OpenSearch Service-Domains innerhalb einer VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) im *Amazon OpenSearch Service Developer Guide*.

## [Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
<a name="opensearch-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-7 (4),, NIST.800-53.r5 SC-8 (1) NIST.800-53.r5 SC-8, (2) NIST.800-53.r5 SC-8

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::OpenSearch::Domain`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für OpenSearch Domänen die node-to-node Verschlüsselung aktiviert ist. Diese Kontrolle schlägt fehl, wenn die node-to-node Verschlüsselung in der Domain deaktiviert ist.

HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer den Netzwerkverkehr mit person-in-the-middle oder ähnlichen Angriffen abhören oder manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Durch die Aktivierung der node-to-node Verschlüsselung für OpenSearch Domänen wird sichergestellt, dass die Kommunikation innerhalb des Clusters während der Übertragung verschlüsselt wird.

Mit dieser Konfiguration kann es zu Leistungseinbußen kommen. Sie sollten sich der Leistungseinbußen bewusst sein und diese testen, bevor Sie diese Option aktivieren.

### Abhilfe
<a name="opensearch-3-remediation"></a>

Informationen zum Aktivieren der node-to-node Verschlüsselung für eine OpenSearch Domain finden Sie unter [ node-to-nodeEnabling encryption](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) im *Amazon OpenSearch Service Developer Guide*.

## Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein
<a name="opensearch-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::OpenSearch::Domain`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `logtype = 'error'`(nicht anpassbar)

Dieses Steuerelement prüft, ob OpenSearch Domänen so konfiguriert sind, dass sie CloudWatch Fehlerprotokolle an Logs senden. Dieses Steuerelement schlägt fehl, wenn die Fehlerprotokollierung für eine Domäne nicht aktiviert CloudWatch ist.

Sie sollten Fehlerprotokolle für OpenSearch Domänen aktivieren und diese CloudWatch Protokolle zur Aufbewahrung und Bearbeitung an Logs senden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.

### Abhilfe
<a name="opensearch-4-remediation"></a>

Informationen zum Aktivieren der Protokollveröffentlichung finden Sie unter [Aktivieren der Protokollveröffentlichung (Konsole)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) im *Amazon OpenSearch Service Developer Guide*.

## Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
<a name="opensearch-5"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::OpenSearch::Domain`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `cloudWatchLogsLogGroupArnList`(nicht anpassbar) — Security Hub CSPM füllt diesen Parameter nicht aus. Durch Kommas getrennte Liste von CloudWatch Logs-Log-Gruppen, die für Audit-Logs konfiguriert werden sollten.

Dieses Steuerelement prüft, ob in OpenSearch Domänen die Auditprotokollierung aktiviert ist. Dieses Steuerelement schlägt fehl, wenn für eine OpenSearch Domäne die Überwachungsprotokollierung nicht aktiviert ist.

Audit-Logs sind in hohem Maße anpassbar. Sie ermöglichen es Ihnen, Benutzeraktivitäten auf Ihren OpenSearch Clustern nachzuverfolgen, einschließlich erfolgreicher und fehlgeschlagener AuthentifizierungenOpenSearch, Anfragen an, Indexänderungen und eingehende Suchanfragen.

### Abhilfe
<a name="opensearch-5-remediation"></a>

Anweisungen zur Aktivierung von Audit-Logs finden Sie unter [Aktivieren von Audit-Logs](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) im *Amazon OpenSearch Service Developer Guide*.

## [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
<a name="opensearch-6"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::OpenSearch::Domain`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob OpenSearch Domänen mit mindestens drei Datenknoten konfiguriert sind und `zoneAwarenessEnabled` ist`true`. Dieses Steuerelement schlägt für eine OpenSearch Domäne fehl, wenn sie `instanceCount` weniger als 3 `zoneAwarenessEnabled` ist oder ist`false`.

Um eine hohe Verfügbarkeit und Fehlertoleranz auf Clusterebene zu erreichen, sollte eine OpenSearch Domäne über mindestens drei Datenknoten verfügen. Durch die Bereitstellung einer OpenSearch Domäne mit mindestens drei Datenknoten wird der Clusterbetrieb gewährleistet, falls ein Knoten ausfällt.

### Abhilfe
<a name="opensearch-6-remediation"></a>

**Um die Anzahl der Datenknoten in einer OpenSearch Domäne zu ändern**

1. Melden Sie sich bei der AWS Konsole an und öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. Wählen Sie unter **Meine Domains** den Namen der Domain aus, die Sie bearbeiten möchten, und wählen Sie **Bearbeiten** aus.

1. Stellen Sie unter **Datenknoten** **die Anzahl der Knoten** auf eine Zahl größer als ein`3`. Wenn Sie in drei Availability Zones bereitstellen, legen Sie die Zahl auf ein Vielfaches von drei fest, um eine gleichmäßige Verteilung auf die Availability Zones sicherzustellen. 

1. Wählen Sie **Absenden** aus.

## Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein
<a name="opensearch-7"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Kategorie:** Schützen > Secure Access Management > Eingeschränkte sensible API-Aktionen

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::OpenSearch::Domain`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für OpenSearch Domänen eine differenzierte Zugriffskontrolle aktiviert ist. Die Steuerung schlägt fehl, wenn die feinkörnige Zugriffskontrolle nicht aktiviert ist. Eine differenzierte Zugriffskontrolle erfordert, dass `advanced-security-options` der OpenSearch Parameter `update-domain-config` aktiviert ist.

Eine detaillierte Zugriffskontrolle bietet zusätzliche Möglichkeiten, den Zugriff auf Ihre Daten bei Amazon OpenSearch Service zu kontrollieren.

### Abhilfe
<a name="opensearch-7-remediation"></a>

Informationen zur Aktivierung der feinkörnigen Zugriffskontrolle finden Sie unter [Feinkörnige Zugriffskontrolle in Amazon OpenSearch Service im *Amazon OpenSearch * Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html) Developer Guide.

## [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden
<a name="opensearch-8"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-2

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::OpenSearch::Domain`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10`(nicht anpassbar)

Diese Steuerung prüft, ob ein Amazon OpenSearch Service-Domain-Endpunkt so konfiguriert ist, dass er die neueste TLS-Sicherheitsrichtlinie verwendet. Die Kontrolle schlägt fehl, wenn der OpenSearch Domain-Endpunkt nicht für die Verwendung der neuesten unterstützten Richtlinie konfiguriert ist oder wenn er HTTPs nicht aktiviert ist.

HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer person-in-the-middle oder ähnliche Angriffe verwenden, um den Netzwerkverkehr zu belauschen oder zu manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Die Verschlüsselung von Daten während der Übertragung kann die Leistung beeinträchtigen. Sie sollten Ihre Anwendung mit dieser Funktion testen, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen. TLS 1.2 bietet mehrere Sicherheitsverbesserungen gegenüber früheren Versionen von TLS. 

### Abhilfe
<a name="opensearch-8-remediation"></a>

Verwenden Sie den [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API-Vorgang, um die TLS-Verschlüsselung zu aktivieren. Konfigurieren Sie das [DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)Feld, um den Wert für anzugeben`TLSSecurityPolicy`. Weitere Informationen finden Sie unter [Node-to-node Verschlüsselung](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html) im *Amazon OpenSearch Service Developer Guide*.

## [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden
<a name="opensearch-9"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::OpenSearch::Domain`

**AWS Config Regel:** `tagged-opensearch-domain` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine Amazon OpenSearch Service-Domain Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredTagKeys`. Die Kontrolle schlägt fehl, wenn die Domain keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Domain mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="opensearch-9-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer OpenSearch Service-Domain finden Sie unter [Arbeiten mit Tags](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) im *Amazon OpenSearch Service Developer Guide*.

## Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein
<a name="opensearch-10"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategorie**: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::OpenSearch::Domain`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob auf einer Amazon OpenSearch Service-Domain das neueste Softwareupdate installiert ist. Die Kontrolle schlägt fehl, wenn ein Softwareupdate verfügbar, aber nicht für die Domain installiert ist.

OpenSearch Service-Softwareupdates bieten die neuesten Plattformkorrekturen, Updates und Funktionen, die für die Umgebung verfügbar sind. Die up-to-date Beibehaltung der Patch-Installation trägt dazu bei, die Sicherheit und Verfügbarkeit der Domain aufrechtzuerhalten. Wenn bei den erforderlichen Updates keine Maßnahmen ergriffen werden, wird die Service-Software automatisch aktualisiert (in der Regel nach 2 Wochen). Wir empfehlen, Updates in Zeiten mit geringem Datenverkehr auf der Domain zu planen, um Dienstunterbrechungen zu minimieren. 

### Abhilfe
<a name="opensearch-10-remediation"></a>

Informationen zur Installation von Softwareupdates für eine OpenSearch Domain finden Sie unter [Ein Update starten](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting) im *Amazon OpenSearch Service Developer Guide*.

## [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
<a name="opensearch-11"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.R5 SI-13

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::OpenSearch::Domain`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob eine Amazon OpenSearch Service-Domain mit mindestens drei dedizierten Primärknoten konfiguriert ist. Die Kontrolle schlägt fehl, wenn die Domain weniger als drei dedizierte Primärknoten hat.

OpenSearch Der Dienst verwendet dedizierte Primärknoten, um die Clusterstabilität zu erhöhen. Ein dedizierter primärer Knoten führt Clusterverwaltungsaufgaben aus, speichert jedoch keine Daten und reagiert auch nicht auf Anfragen zum Hochladen von Daten. Wir empfehlen die Verwendung von Multi-AZ mit Standby, wodurch jeder OpenSearch Produktionsdomäne drei dedizierte Primärknoten hinzugefügt werden. 

### Abhilfe
<a name="opensearch-11-remediation"></a>

Informationen zum Ändern der Anzahl der Primärknoten für eine OpenSearch Domain finden Sie unter [Erstellen und Verwalten von Amazon OpenSearch Service-Domains](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) im *Amazon OpenSearch Service Developer Guide*.

# Security Hub CSPM-Steuerungen für AWS Private CA
<a name="pca-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS Private Certificate Authority (AWS Private CA) Dienst und die Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein
<a name="pca-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::ACMPCA::CertificateAuthority`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob es AWS Private CA eine deaktivierte Stammzertifizierungsstelle (CA) gibt. Die Steuerung schlägt fehl, wenn die Stammzertifizierungsstelle aktiviert ist.

Mit AWS Private CA können Sie eine Zertifizierungsstellenhierarchie erstellen, die eine Stammzertifizierungsstelle und eine untergeordnete CAs Zertifizierungsstelle umfasst. Sie sollten die Verwendung der Stammzertifizierungsstelle für tägliche Aufgaben minimieren, insbesondere in Produktionsumgebungen. Die Stammzertifizierungsstelle sollte nur zur Ausstellung von Zertifikaten für Zwischenzertifikate verwendet werden CAs. Auf diese Weise kann die Stammzertifizierungsstelle vor Gefahren geschützt aufbewahrt werden, während die CAs Zwischenzertifizierungsstelle die tägliche Aufgabe der Ausstellung von Endzertifikaten übernimmt.

### Abhilfe
<a name="pca-1-remediation"></a>

Informationen zum Deaktivieren der Stammzertifizierungsstelle finden Sie unter [CA-Status aktualisieren](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps) im *AWS Private Certificate Authority Benutzerhandbuch*.

## [PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden
<a name="pca-2"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::ACMPCA::CertificateAuthority`

**AWS Config -Regel: ** `acmpca-certificate-authority-tagged`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine AWS private Zertifizierungsstelle über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredKeyTags` definiert sind. Die Kontrolle schlägt fehl, wenn die Zertifizierungsstelle keine Tagschlüssel hat oder wenn sie nicht über alle im Parameter angegebenen Schlüssel verfügt`requiredKeyTags`. Wenn der Parameter `requiredKeyTags` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Zertifizierungsstelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen in Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Tagging finden Sie unter [Bewährte Methoden und Strategien](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) im * AWS Tagging-Ressourcen- und Tag-Editor-Benutzerhandbuch*.

### Abhilfe
<a name="pca-2-remediation"></a>

Informationen zum Hinzufügen von Stichwörtern zu einer AWS privaten Zertifizierungsstelle finden [Sie unter Hinzufügen von Stichwörtern für Ihre private Zertifizierungsstelle](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html) im *AWS Private Certificate Authority Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für Amazon RDS
<a name="rds-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten die Ressourcen von Amazon Relational Database Service (Amazon RDS) und Amazon RDS. Die Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [RDS.1] Der RDS-Snapshot sollte privat sein
<a name="rds-1"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7),, (21),, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, (3) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Kritisch

**Ressourcentyp:**`AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBSnapshot`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Amazon RDS-Snapshots öffentlich sind. Die Steuerung schlägt fehl, wenn RDS-Snapshots öffentlich sind. Dieses Steuerelement bewertet RDS-Instances, Aurora-DB-Instances, Neptune-DB-Instances und Amazon DocumentDB-Cluster.

RDS-Snapshots werden verwendet, um die Daten auf Ihren RDS-Instances zu einem bestimmten Zeitpunkt zu sichern. Sie können verwendet werden, um frühere Zustände von RDS-Instances wiederherzustellen.

Ein RDS-Snapshot darf nur öffentlich sein, wenn dies beabsichtigt ist. Wenn Sie einen unverschlüsselten manuellen Snapshot als öffentlich freigeben, wird der Snapshot dadurch für alle verfügbar. AWS-Konten Dies kann zu einer unbeabsichtigten Offenlegung von Daten Ihrer RDS-Instance führen.

Beachten Sie, dass die AWS Config Regel die Änderung möglicherweise bis zu 12 Stunden lang nicht erkennen kann, wenn die Konfiguration so geändert wird, dass sie öffentlich zugänglich ist. Bis die AWS Config Regel die Änderung erkennt, ist die Prüfung erfolgreich, obwohl die Konfiguration gegen die Regel verstößt.

Weitere Informationen zum Teilen eines DB-Snapshots finden Sie unter [Freigeben eines DB-Snapshots](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) im *Amazon RDS-Benutzerhandbuch*.

### Abhilfe
<a name="rds-1-remediation"></a>

Informationen zum Entfernen des öffentlichen Zugriffs auf RDS-Snapshots finden Sie unter [Einen Snapshot teilen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing) im *Amazon RDS-Benutzerhandbuch*. Für die **Sichtbarkeit von DB-Snapshots** wählen wir **Privat**.

## [RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible
<a name="rds-2"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/2.2.3, CIS AWS Foundations Benchmark v3.0.0/2.3.3,, (21), (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4 1/1.3.6, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Amazon RDS-Instances öffentlich zugänglich sind, indem es das `PubliclyAccessible` Feld im Instance-Konfigurationselement auswertet.

Neptune-DB-Instances und Amazon DocumentDB-Cluster haben das `PubliclyAccessible` Flag nicht und können nicht ausgewertet werden. Diese Kontrolle kann jedoch immer noch Ergebnisse für diese Ressourcen generieren. Sie können diese Ergebnisse unterdrücken.

Der `PubliclyAccessible`-Wert in der RDS-Instance-Konfiguration gibt an, ob die DB-Instance öffentlich zugänglich ist. Wenn die DB-Instance mit `PubliclyAccessible` konfiguriert ist, handelt es sich um eine mit dem Internet verbundene Instance mit einem öffentlich auflösbaren DNS-Namen, der in eine öffentliche IP-Adresse aufgelöst wird. Wenn die DB-Instance nicht öffentlich zugänglich ist, handelt es sich um eine interne Instance mit einem DNS-Namen, der in eine private IP-Adresse aufgelöst wird.

Sofern Sie nicht beabsichtigen, dass Ihre RDS-Instance öffentlich zugänglich ist, sollte die RDS-Instance nicht mit `PubliclyAccessible` Value konfiguriert werden. Dadurch könnte unnötiger Datenverkehr zu Ihrer Datenbank-Instance entstehen.

### Abhilfe
<a name="rds-2-remediation"></a>

Informationen zum Entfernen des öffentlichen Zugriffs auf RDS-DB-Instances finden Sie unter [Ändern einer Amazon RDS-DB-Instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) im *Amazon RDS-Benutzerhandbuch*. Wählen Sie für **öffentlichen Zugriff** die Option **Nein**.

## [RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.
<a name="rds-3"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS Foundations Benchmark v1.4.0/2.3.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6) AWS NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob die Speicherverschlüsselung für Ihre Amazon RDS-DB-Instances aktiviert ist.

Diese Steuerung ist für RDS-DB-Instances vorgesehen. Es kann jedoch auch Ergebnisse für Aurora-DB-Instances, Neptune-DB-Instances und Amazon DocumentDB-Cluster generieren. Wenn diese Ergebnisse nicht nützlich sind, können Sie sie unterdrücken.

Um eine zusätzliche Sicherheitsebene für Ihre sensiblen Daten in RDS-DB-Instances zu erhalten, sollten Sie Ihre RDS-DB-Instances so konfigurieren, dass sie im Ruhezustand verschlüsselt werden. Um Ihre RDS-DB-Instances und Snapshots im Ruhezustand zu verschlüsseln, aktivieren Sie die Verschlüsselungsoption für Ihre RDS-DB-Instances. Daten, die im Ruhezustand verschlüsselt werden, umfassen den zugehörigen Speicherplatz für DB-Instances, deren automatisierte Backups, Read Replicas und Snapshots. 

RDS-verschlüsselte DB-Instances verwenden den offenen Standard AES-256-Verschlüsselungsalgorithmus, um Ihre Daten auf dem Server zu verschlüsseln, der Ihre RDS-DB-Instance hostet. Nachdem Ihre Daten verschlüsselt wurden, verarbeitet Amazon RDS die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent und mit minimalen Auswirkungen auf die Leistung. Sie müssen Ihre Datenbank-Client-Anwendungen nicht ändern, um die Verschlüsselung anzuwenden. 

Die Amazon RDS-Verschlüsselung ist derzeit für alle Datenbank-Engines und Speichertypen verfügbar. Amazon-RDS-Verschlüsselung ist für die meisten DB-Instance-Klassen verfügbar. Informationen zu DB-Instance-Klassen, die die Amazon RDS-Verschlüsselung nicht unterstützen, finden Sie unter [Verschlüsseln von Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) im *Amazon RDS-Benutzerhandbuch*.

### Abhilfe
<a name="rds-3-remediation"></a>

Informationen zur Verschlüsselung von DB-Instances in Amazon RDS finden Sie unter [Verschlüsseln von Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden
<a name="rds-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6)

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-at-rest

**Schweregrad:** Mittel

**Ressourcentyp:**`AWS::RDS::DBClusterSnapshot`, ` AWS::RDS::DBSnapshot`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein RDS-DB-Snapshot verschlüsselt ist. Die Steuerung schlägt fehl, wenn ein RDS-DB-Snapshot nicht verschlüsselt ist.

Dieses Steuerelement ist für RDS-DB-Instances vorgesehen. Es kann jedoch auch Ergebnisse für Snapshots von Aurora-DB-Instances, Neptune-DB-Instances und Amazon DocumentDB-Clustern generieren. Wenn diese Ergebnisse nicht nützlich sind, können Sie sie unterdrücken.

Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass ein nicht authentifizierter Benutzer Zugriff auf Daten erhält, die auf der Festplatte gespeichert sind. Daten in RDS-Snapshots sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten.

### Abhilfe
<a name="rds-4-remediation"></a>

Informationen zum Verschlüsseln eines RDS-Snapshots finden Sie unter [Verschlüsseln von Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) im *Amazon RDS-Benutzerhandbuch*. Wenn Sie eine RDS-DB-Instance verschlüsseln, umfassen die verschlüsselten Daten den der Instance zugrunde liegenden Speicher, ihre automatisierten Backups, Read Replicas und Snapshots.

Sie können eine RDS-DB-Instance nur verschlüsseln, wenn Sie sie erstellen, nicht nachdem die DB-Instance erstellt wurde. Da es jedoch möglich ist, die Kopie eines unverschlüsselten Snapshots zu verschlüsseln, können Sie quasi eine Verschlüsselung zu einer unverschlüsselten DB-Instance hinzufügen. Dies lässt sich durchführen, indem Sie einen Snapshot von Ihrer DB-Instance erstellen und dann eine verschlüsselte Kopie dieses Snapshots erstellen. Anschließend können Sie Ihre DB-Instance aus dem verschlüsselten Snapshot wiederherstellen und verfügen so über eine verschlüsselte Kopie Ihrer ursprünglichen DB-Instance.

## [RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden
<a name="rds-5"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Hochverfügbarkeit für Ihre RDS-DB-Instances aktiviert ist. Die Steuerung schlägt fehl, wenn eine RDS-DB-Instance nicht mit mehreren Availability Zones (AZs) konfiguriert ist. Diese Steuerung gilt nicht für RDS-DB-Instances, die Teil einer Multi-AZ-DB-Cluster-Bereitstellung sind.

Die Konfiguration von Amazon RDS-DB-Instances mit AZs trägt dazu bei, die Verfügbarkeit der gespeicherten Daten sicherzustellen. Multi-AZ-Bereitstellungen ermöglichen einen automatisierten Failover bei Problemen mit der AZ-Verfügbarkeit und während der regulären RDS-Wartung.

### Abhilfe
<a name="rds-5-remediation"></a>

Um Ihre DB-Instances in mehreren bereitzustellen AZs, [ändern Sie eine DB-Instance zu einer Multi-AZ-DB-Instance-Bereitstellung](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.6] Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden
<a name="rds-6"></a>

**Verwandte Anforderungen:**, NIST.800-53.R5 NIST.800-53.r5 CA-7 SI-2

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `monitoringInterval`  |  Anzahl der Sekunden zwischen den Erfassungsintervallen von Überwachungsmetriken  |  Enum  |  `1`, `5`, `10`, `15`, `30`, `60`  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob die erweiterte Überwachung für eine Amazon Relational Database Service (Amazon RDS) -DB-Instance aktiviert ist. Die Steuerung schlägt fehl, wenn die erweiterte Überwachung für die Instance nicht aktiviert ist. Wenn Sie einen benutzerdefinierten Wert für den `monitoringInterval` Parameter angeben, ist die Steuerung nur erfolgreich, wenn die Metriken zur erweiterten Überwachung für die Instance im angegebenen Intervall erfasst werden.

In Amazon RDS ermöglicht Enhanced Monitoring eine schnellere Reaktion auf Leistungsänderungen in der zugrunde liegenden Infrastruktur. Diese Leistungsänderungen können zu einer mangelnden Verfügbarkeit der Daten führen. Enhanced Monitoring bietet Echtzeit-Metriken des Betriebssystems, auf dem Ihre RDS-DB-Instance läuft. Auf der Instance ist ein Agent installiert. Der Agent kann Metriken genauer abrufen, als dies auf der Hypervisor-Ebene möglich ist.

Metriken von Enhanced Monitoring sind nützlich, um zu sehen, wie unterschiedliche Prozesse oder Threads auf einer DB-Instance die CPU nutzen. Weitere Informationen finden Sie unter [Enhanced Monitoring](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) (Erweiterte Überwachung) im *Amazon-RDS-Benutzerhandbuch*.

### Abhilfe
<a name="rds-6-remediation"></a>

Detaillierte Anweisungen zur Aktivierung von Enhanced Monitoring für Ihre DB-Instance finden Sie unter [Enhanced Monitoring einrichten und aktivieren](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.Enabling) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein
<a name="rds-7"></a>

**Verwandte Anforderungen: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2**)

**Kategorie:** Schützen > Datenschutz > Schutz vor Datenlöschung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für einen RDS-DB-Cluster der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn für einen RDS-DB-Cluster kein Löschschutz aktiviert ist.

Dieses Steuerelement ist für RDS-DB-Instances vorgesehen. Es kann jedoch auch Ergebnisse für Aurora-DB-Instances, Neptune-DB-Instances und Amazon DocumentDB-Cluster generieren. Wenn diese Ergebnisse nicht nützlich sind, können Sie sie unterdrücken.

Die Aktivierung des Cluster-Löschschutzes bietet zusätzlichen Schutz vor versehentlichem Löschen von Datenbanken oder vor dem Löschen durch eine nicht autorisierte Entität.

Wenn der Löschschutz aktiviert ist, kann ein RDS-Cluster nicht gelöscht werden. Bevor eine Löschanforderung erfolgreich sein kann, muss der Löschschutz deaktiviert werden.

### Abhilfe
<a name="rds-7-remediation"></a>

Informationen zum Aktivieren des Löschschutzes für einen RDS-DB-Cluster finden Sie unter [Ändern des DB-Clusters mithilfe der Konsole, der CLI und der API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) im *Amazon RDS-Benutzerhandbuch*. Wählen Sie für **den Löschschutz** die Option **Löschschutz aktivieren**. 

## [RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein
<a name="rds-8"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie: Schützen > Datenschutz > Schutz** vor Datenlöschung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `databaseEngines`: `mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web` (nicht anpassbar)

Dieses Steuerelement prüft, ob für Ihre RDS-DB-Instances, die eine der aufgelisteten Datenbank-Engines verwenden, der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn für eine RDS-DB-Instance kein Löschschutz aktiviert ist.

Die Aktivierung des Schutzes vor dem Löschen von Instances ist eine zusätzliche Schutzebene gegen das versehentliche Löschen von Datenbanken oder das Löschen durch eine nicht autorisierte Entität.

Solange der Löschschutz aktiviert ist, kann eine RDS-DB-Instance nicht gelöscht werden. Bevor eine Löschanfrage erfolgreich sein kann, muss der Löschschutz deaktiviert werden.

### Abhilfe
<a name="rds-8-remediation"></a>

Informationen zum Aktivieren des Löschschutzes für eine RDS-DB-Instance finden Sie unter [Ändern einer Amazon RDS-DB-Instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) im *Amazon RDS-Benutzerhandbuch*. Wählen Sie für **Löschschutz** die Option **Löschschutz aktivieren**. 

## [RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
<a name="rds-9"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon RDS-DB-Instance so konfiguriert ist, dass sie die folgenden Protokolle in Amazon CloudWatch Logs veröffentlicht. Die Kontrolle schlägt fehl, wenn die Instance nicht so konfiguriert ist, dass sie die folgenden CloudWatch Protokolle in Logs veröffentlicht:
+ Oracle: Alert, Audit, Trace, Listener
+ PostgreSQL: Postgresql, Aktualisierung
+ MySQL: Audit, Fehler, Allgemein, SlowQuery
+ MariaDB: Audit, Fehler, Allgemein, SlowQuery
+ SQL Server: Fehler, Agent
+ Aurora: Prüfung, Fehler, Allgemein, SlowQuery
+ Aurora-MySQL: Prüfung, Fehler, Allgemein, SlowQuery
+ Aurora-PostgreSQL: PostgreSQL

Für RDS-Datenbanken sollten die entsprechenden Protokolle aktiviert sein. Die Datenbankprotokollierung bietet detaillierte Aufzeichnungen der an RDS gestellten Anfragen. Datenbankprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen.

### Abhilfe
<a name="rds-9-remediation"></a>

Informationen zum Veröffentlichen von RDS-Datenbankprotokollen in CloudWatch Logs finden Sie [unter Spezifizieren der in CloudWatch Logs zu veröffentlichenden Logs](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.10] Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden
<a name="rds-10"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für eine RDS-DB-Instance die IAM-Datenbankauthentifizierung aktiviert ist. Die Steuerung schlägt fehl, wenn die IAM-Authentifizierung nicht für RDS-DB-Instances konfiguriert ist. Diese Steuerung bewertet nur RDS-Instances mit den folgenden Engine-Typen:`mysql`,`postgres`,, `aurora` `aurora-mysql``aurora-postgresql`, und. `mariadb` Eine RDS-Instanz muss sich außerdem in einem der folgenden Zustände befinden, damit ein Ergebnis generiert werden kann:`available`, `backing-up``storage-optimization`, oder`storage-full`.

Die IAM-Datenbankauthentifizierung ermöglicht die Authentifizierung von Datenbank-Instances mit einem Authentifizierungstoken anstelle eines Kennworts. Der Netzwerkverkehr zur und von der Datenbank wird mit SSL verschlüsselt. Weitere Informationen finden Sie unter [IAM-Datenbank-Authentifizierung](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) im *Amazon Aurora-Benutzerhandbuch.*

### Abhilfe
<a name="rds-10-remediation"></a>

Informationen zur Aktivierung der IAM-Datenbankauthentifizierung auf einer RDS-DB-Instance finden Sie unter [Aktivieren und Deaktivieren der IAM-Datenbankauthentifizierung](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.11] Bei RDS-Instances sollten automatische Backups aktiviert sein
<a name="rds-11"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Backups aktiviert 

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `backupRetentionMinimum`  |  Minimale Aufbewahrungsdauer für Backups in Tagen  |  Ganzzahl  |  `7` auf `35`  |  `7`  | 
|  `checkReadReplicas`  |  Überprüft, ob für RDS-DB-Instances Backups für Read Replicas aktiviert sind  |  Boolesch  |  Nicht anpassbar  |  `false`  | 

Diese Kontrolle prüft, ob für eine Amazon Relational Database Service Service-Instance automatische Backups aktiviert sind und ob eine Aufbewahrungsfrist für Backups größer oder gleich dem angegebenen Zeitraum ist. Read Replicas sind von der Evaluierung ausgeschlossen. Die Kontrolle schlägt fehl, wenn Backups für die Instanz nicht aktiviert sind oder wenn die Aufbewahrungsdauer unter dem angegebenen Zeitraum liegt. Sofern Sie keinen benutzerdefinierten Parameterwert für die Aufbewahrungsdauer von Backups angeben, verwendet Security Hub CSPM einen Standardwert von 7 Tagen.

Backups helfen Ihnen, sich schneller nach einem Sicherheitsvorfall zu erholen, und stärken die Widerstandsfähigkeit Ihrer Systeme. Mit Amazon RDS können Sie tägliche Snapshots des gesamten Instance-Volumes konfigurieren. Weitere Informationen zu automatisierten Amazon RDS-Backups finden Sie unter [Arbeiten mit Backups](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html) im *Amazon RDS-Benutzerhandbuch*.

### Abhilfe
<a name="rds-11-remediation"></a>

Informationen zum Aktivieren automatisierter Backups auf einer RDS-DB-Instance finden Sie unter [Automatisierte Backups aktivieren](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden
<a name="rds-12"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob in einem Amazon RDS-DB-Cluster die IAM-Datenbankauthentifizierung aktiviert ist.

Die IAM-Datenbankauthentifizierung ermöglicht eine passwortlose Authentifizierung bei Datenbank-Instances. Die Authentifizierung verwendet ein Authentifizierungstoken. Der Netzwerkverkehr zur und von der Datenbank wird mit SSL verschlüsselt. Weitere Informationen finden Sie unter [IAM-Datenbank-Authentifizierung](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) im *Amazon Aurora-Benutzerhandbuch.*

### Abhilfe
<a name="rds-12-remediation"></a>

Informationen zur Aktivierung der IAM-Authentifizierung für einen DB-Cluster finden Sie unter [Aktivieren und Deaktivieren der IAM-Datenbankauthentifizierung](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) im *Amazon Aurora Aurora-Benutzerhandbuch*. 

## [RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein
<a name="rds-13"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/2.2.2, CIS AWS Foundations Benchmark v3.0.0/2.3.2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategorie:** Identifizieren > Schwachstellen-, Patch- und Versionsverwaltung

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob automatische Upgrades für kleinere Versionen für die RDS-Datenbank-Instance aktiviert sind.

Durch automatische Upgrades von Nebenversionen wird eine Datenbank regelmäßig auf die neuesten Versionen der Datenbank-Engine aktualisiert. Das Upgrade beinhaltet jedoch möglicherweise nicht immer die aktuelle Datenbank-Engine-Version. Wenn Sie Ihre Datenbanken zu bestimmten Zeiten auf bestimmten Versionen belassen müssen, empfehlen wir Ihnen, ein manuelles Upgrade auf die Datenbankversionen durchzuführen, die Sie gemäß Ihrem erforderlichen Zeitplan benötigen. Bei kritischen Sicherheitsproblemen oder wenn eine Version ihr end-of-support Datum erreicht, führt Amazon RDS möglicherweise ein Upgrade für eine Nebenversion durch, auch wenn Sie die Option **Automatisches Upgrade der Nebenversion** nicht aktiviert haben. Weitere Informationen finden Sie in der Amazon RDS-Upgrade-Dokumentation für Ihre spezifische Datenbank-Engine:
+ [Automatische Nebenversions-Upgrades für RDS for MariaDB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html)
+ [Automatische Upgrades kleinerer Versionen für RDS for MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html)
+ [Automatische Upgrades kleinerer Versionen für RDS for PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html)
+ [Versionen von Db2 auf Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html)
+ [Upgrades kleinerer Oracle-Versionen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html)
+ [Upgrades der Microsoft SQL Server-DB-Engine](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html)

### Abhilfe
<a name="rds-13-remediation"></a>

Informationen zur Aktivierung automatischer Unterversions-Upgrades für eine bestehende DB-Instance finden Sie unter [Ändern einer Amazon RDS-DB-Instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) im *Amazon RDS-Benutzerhandbuch*. Wählen Sie für das **automatische Upgrade der Nebenversion** **Ja** aus.

## [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
<a name="rds-14"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Backups aktiviert 

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `BacktrackWindowInHours`  |  Anzahl der Stunden, um einen Aurora MySQL-Cluster zurückzuverfolgen  |  Double  |  `0.1` auf `72`  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob für einen Amazon Aurora Aurora-Cluster Backtracking aktiviert ist. Die Steuerung schlägt fehl, wenn für den Cluster kein Backtracking aktiviert ist. Wenn Sie einen benutzerdefinierten Wert für den `BacktrackWindowInHours` Parameter angeben, ist die Steuerung nur erfolgreich, wenn der Cluster für den angegebenen Zeitraum zurückverfolgt wird.

Mithilfe von Backups können Sie sich nach einem Sicherheitsvorfall schneller erholen. Sie stärken auch die Widerstandsfähigkeit Ihrer Systeme. Aurora-Backtracking reduziert die Zeit für die Wiederherstellung einer Datenbank auf einen bestimmten Zeitpunkt. Dazu ist keine Datenbankwiederherstellung erforderlich.

### Abhilfe
<a name="rds-14-remediation"></a>

Informationen zur Aktivierung von Aurora-Backtracking finden Sie unter [Backtracking konfigurieren](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring) im *Amazon Aurora Aurora-Benutzerhandbuch*.

Beachten Sie, dass Sie Backtracking nicht auf einem vorhandenen Cluster aktivieren können. Stattdessen können Sie einen Clone erstellen, für den Backtracking aktiviert ist. Weitere Informationen zu den Einschränkungen von Aurora-Backtracking finden Sie in der Liste der Einschränkungen unter [Backtracking im Überblick](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html).

## [RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
<a name="rds-15"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Hochverfügbarkeit für Ihre RDS-DB-Cluster aktiviert ist. Die Steuerung schlägt fehl, wenn ein RDS-DB-Cluster nicht in mehreren Availability Zones (AZs) bereitgestellt wird.

RDS-DB-Cluster sollten für mehrere konfiguriert werden AZs , um die Verfügbarkeit der gespeicherten Daten sicherzustellen. Die Bereitstellung auf mehreren AZs Geräten ermöglicht einen automatisierten Failover im Falle eines AZ-Verfügbarkeitsproblems und während regelmäßiger RDS-Wartungsereignisse.

### Abhilfe
<a name="rds-15-remediation"></a>

Um Ihre DB-Cluster in mehreren bereitzustellen AZs, [ändern Sie eine DB-Instance zu einer Multi-AZ-DB-Instance-Bereitstellung](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) im *Amazon RDS-Benutzerhandbuch*.

Die Schritte zur Behebung sind für globale Aurora-Datenbanken unterschiedlich. Um mehrere Availability Zones für eine globale Aurora-Datenbank zu konfigurieren, wählen Sie Ihren DB-Cluster aus. Wählen Sie dann **Aktionen** und **Leser hinzufügen** und geben Sie mehrere an AZs. Weitere Informationen finden Sie unter [Hinzufügen von Aurora Replicas zu einem DB-Cluster](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html) im *Amazon Aurora Aurora-Benutzerhandbuch*.

## [RDS.16] Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren
<a name="rds-16"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

**Kategorie:** Identifizieren > Bestand

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config Regel:** `rds-cluster-copy-tags-to-snapshots-enabled` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon Aurora Aurora-DB-Cluster so konfiguriert ist, dass Tags automatisch in Snapshots des DB-Clusters kopiert werden, wenn die Snapshots erstellt werden. Die Steuerung schlägt fehl, wenn der Aurora-DB-Cluster nicht so konfiguriert ist, dass Tags bei der Erstellung der Snapshots automatisch in Snapshots des Clusters kopiert werden.

Die Identifizierung und Inventarisierung Ihrer IT-Ressourcen ist ein entscheidender Aspekt der Unternehmensführung und Sicherheit. Sie benötigen einen Überblick über all Ihre Amazon Aurora Aurora-DB-Cluster, damit Sie deren Sicherheitslage beurteilen und Maßnahmen gegen potenzielle Schwachstellen ergreifen können. Aurora-DB-Snapshots sollten dieselben Tags wie ihre übergeordneten DB-Cluster haben. In Amazon Aurora können Sie einen DB-Cluster so konfigurieren, dass automatisch alle Tags für den Cluster in Snapshots des Clusters kopiert werden. Durch die Aktivierung dieser Einstellung wird sichergestellt, dass DB-Snapshots dieselben Tags erben wie ihre übergeordneten DB-Cluster.

### Abhilfe
<a name="rds-16-remediation"></a>

Informationen zur Konfiguration eines Amazon Aurora Aurora-DB-Clusters für das automatische Kopieren von Tags in DB-Snapshots finden Sie unter [Ändern eines Amazon Aurora Aurora-DB-Clusters](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html) im *Amazon Aurora Aurora-Benutzerhandbuch*.

## [RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
<a name="rds-17"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

**Kategorie:** Identifizieren > Bestand

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config Regel:** `rds-instance-copy-tags-to-snapshots-enabled` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob RDS-DB-Instances so konfiguriert sind, dass sie bei der Erstellung der Snapshots alle Tags in Snapshots kopieren.

Die Identifizierung und Inventarisierung Ihrer IT-Ressourcen ist ein entscheidender Aspekt der Unternehmensführung und Sicherheit. Sie benötigen einen Überblick über all Ihre RDS-DB-Instances, damit Sie deren Sicherheitslage beurteilen und Maßnahmen gegen potenzielle Schwachstellen ergreifen können. Snapshots sollten auf die gleiche Weise gekennzeichnet werden wie ihre übergeordneten RDS-Datenbank-Instances. Durch die Aktivierung dieser Einstellung wird sichergestellt, dass Snapshots die Tags ihrer übergeordneten Datenbank-Instances erben.

### Abhilfe
<a name="rds-17-remediation"></a>

Informationen zum automatischen Kopieren von Tags in Snapshots für eine RDS-DB-Instance finden Sie unter [Ändern einer Amazon RDS-DB-Instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) im *Amazon RDS-Benutzerhandbuch*. Wählen Sie **Tags in Snapshots kopieren** aus.

## [RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden
<a name="rds-18"></a>

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen in VPC 

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config Regel:** `rds-deployed-in-vpc` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon RDS-Instance auf einer EC2-VPC bereitgestellt ist.

VPCs bieten eine Reihe von Netzwerksteuerungen, um den Zugriff auf RDS-Ressourcen zu sichern. Zu diesen Kontrollen gehören VPC-Endpunkte, Netzwerk-ACLs und Sicherheitsgruppen. Um diese Kontrollen nutzen zu können, empfehlen wir Ihnen, Ihre RDS-Instances auf einer EC2-VPC zu erstellen.

### Abhilfe
<a name="rds-18-remediation"></a>

Anweisungen zum Verschieben von RDS-Instances in eine VPC finden Sie unter [Aktualisieren der VPC für eine DB-Instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.VPC2VPC.html) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden
<a name="rds-19"></a>

**Verwandte Anforderungen:**, NIST.800-53.R5 NIST.800-53.r5 CA-7 SI-2

**Kategorie: Erkennen > Erkennungsdienste > Anwendungsüberwachung**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::EventSubscription`

**AWS Config Regel:** `rds-cluster-event-notifications-configured` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob in einem bestehenden Amazon RDS-Ereignisabonnement für Datenbankcluster Benachrichtigungen für die folgenden Schlüssel-Wert-Paare aus Quelle und Ereigniskategorie aktiviert sind:

```
DBCluster: ["maintenance","failure"]
```

Die Kontrolle ist erfolgreich, wenn in Ihrem Konto keine Event-Abonnements vorhanden sind.

RDS-Ereignisbenachrichtigungen verwendet Amazon SNS, um Sie über Änderungen in der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen eine schnelle Reaktion. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter [Verwenden von Amazon RDS-Ereignisbenachrichtigungen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) im *Amazon RDS-Benutzerhandbuch*.

### Abhilfe
<a name="rds-19-remediation"></a>

Informationen zum Abonnieren von RDS-Cluster-Ereignisbenachrichtigungen finden Sie unter [Amazon RDS-Ereignisbenachrichtigungen abonnieren](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) im *Amazon RDS-Benutzerhandbuch*. Verwenden Sie die folgenden Werte:


| Feld | Value (Wert) | 
| --- | --- | 
|  Source type (Quellentyp)  |  Cluster  | 
|  Zu berücksichtigende Cluster  |  Alle Cluster  | 
|  Zu berücksichtigende Veranstaltungskategorien  |  Wählen Sie bestimmte Veranstaltungskategorien oder Alle Veranstaltungskategorien aus  | 

## [RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden
<a name="rds-20"></a>

**Verwandte Anforderungen: NIST.800-53.r5 CA-7, NIST.800-53.R5** SI-2, PCI DSS v4.0.1/11.5.2

**Kategorie**: Erkennen > Erkennungsdienste > Anwendungsüberwachung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::EventSubscription`

**AWS Config Regel:** `rds-instance-event-notifications-configured` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob in einem bestehenden Amazon RDS-Ereignisabonnement für Datenbank-Instances Benachrichtigungen für die folgenden Schlüssel-Wert-Paare aus Quelltyp und Ereigniskategorie aktiviert sind:

```
DBInstance: ["maintenance","configuration change","failure"]
```

Die Kontrolle ist erfolgreich, wenn in Ihrem Konto keine Event-Abonnements vorhanden sind.

RDS-Ereignisbenachrichtigungen verwenden Amazon SNS, um Sie über Änderungen in der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen eine schnelle Reaktion. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter [Verwenden von Amazon RDS-Ereignisbenachrichtigungen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) im *Amazon RDS-Benutzerhandbuch*.

### Abhilfe
<a name="rds-20-remediation"></a>

Informationen zum Abonnieren von RDS-Instance-Ereignisbenachrichtigungen finden Sie unter [Amazon RDS-Ereignisbenachrichtigungen abonnieren](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) im *Amazon RDS-Benutzerhandbuch*. Verwenden Sie die folgenden Werte:


| Feld | Value (Wert) | 
| --- | --- | 
|  Source type (Quellentyp)  |  Instances  | 
|  Instances, die aufgenommen werden sollen  |  Alle Instanzen  | 
|  Zu berücksichtigende Event-Kategorien  |  Wählen Sie bestimmte Veranstaltungskategorien oder Alle Veranstaltungskategorien aus  | 

## [RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden
<a name="rds-21"></a>

**Verwandte Anforderungen: NIST.800-53.r5 CA-7, NIST.800-53.R5** SI-2, PCI DSS v4.0.1/11.5.2

**Kategorie**: Erkennen > Erkennungsdienste > Anwendungsüberwachung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::EventSubscription`

**AWS Config Regel:** `rds-pg-event-notifications-configured` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon RDS-Ereignisabonnement mit aktivierten Benachrichtigungen für die folgenden Schlüsselwertpaare aus Quelltyp, Ereigniskategorie, aktiviert ist. Die Kontrolle ist erfolgreich, wenn in Ihrem Konto keine Event-Abonnements vorhanden sind.

```
DBParameterGroup: ["configuration change"]
```

RDS-Ereignisbenachrichtigungen verwenden Amazon SNS, um Sie über Änderungen in der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen eine schnelle Reaktion. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter [Verwenden von Amazon RDS-Ereignisbenachrichtigungen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) im *Amazon RDS-Benutzerhandbuch*.

### Abhilfe
<a name="rds-21-remediation"></a>

Informationen zum Abonnieren von Ereignisbenachrichtigungen für RDS-Datenbankparametergruppen finden Sie unter [Amazon RDS-Ereignisbenachrichtigungen abonnieren](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) im *Amazon RDS-Benutzerhandbuch*. Verwenden Sie die folgenden Werte:


| Feld | Value (Wert) | 
| --- | --- | 
|  Source type (Quellentyp)  |  Parametergruppen  | 
|  Zu berücksichtigende Parametergruppen  |  Alle Parametergruppen  | 
|  Zu berücksichtigende Event-Kategorien  |  Wählen Sie bestimmte Veranstaltungskategorien oder Alle Veranstaltungskategorien aus  | 

## [RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden
<a name="rds-22"></a>

**Verwandte Anforderungen: NIST.800-53.r5 CA-7, NIST.800-53.R5** SI-2, PCI DSS v4.0.1/11.5.2

**Kategorie**: Erkennen > Erkennungsdienste > Anwendungsüberwachung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::EventSubscription`

**AWS Config Regel:** `rds-sg-event-notifications-configured` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon RDS-Ereignisabonnement mit aktivierten Benachrichtigungen für die folgenden Schlüsselwertpaare aus Quelltyp, Ereigniskategorie, aktiviert ist. Die Kontrolle ist erfolgreich, wenn in Ihrem Konto keine Event-Abonnements vorhanden sind.

```
DBSecurityGroup: ["configuration change","failure"]
```

RDS-Ereignisbenachrichtigungen verwenden Amazon SNS, um Sie über Änderungen in der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen eine schnelle Reaktion. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter [Verwenden von Amazon RDS-Ereignisbenachrichtigungen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) im *Amazon RDS-Benutzerhandbuch*.

### Abhilfe
<a name="rds-22-remediation"></a>

Informationen zum Abonnieren von RDS-Instance-Ereignisbenachrichtigungen finden Sie unter [Amazon RDS-Ereignisbenachrichtigungen abonnieren](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) im *Amazon RDS-Benutzerhandbuch*. Verwenden Sie die folgenden Werte:


| Feld | Value (Wert) | 
| --- | --- | 
|  Source type (Quellentyp)  |  Sicherheitsgruppen  | 
|  Zu berücksichtigende Sicherheitsgruppen  |  Alle Sicherheitsgruppen  | 
|  Zu berücksichtigende Event-Kategorien  |  Wählen Sie bestimmte Veranstaltungskategorien oder Alle Veranstaltungskategorien aus  | 

## [RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden
<a name="rds-23"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config Regel:** `rds-no-default-ports` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein RDS-Cluster oder eine RDS-Instanz einen anderen Port als den Standardport der Datenbank-Engine verwendet. Die Steuerung schlägt fehl, wenn der RDS-Cluster oder die RDS-Instanz den Standardport verwendet. Diese Steuerung gilt nicht für RDS-Instances, die Teil eines Clusters sind.

Wenn Sie einen bekannten Port verwenden, um einen RDS-Cluster oder eine RDS-Instanz bereitzustellen, kann ein Angreifer Informationen über den Cluster oder die Instanz erraten. Der Angreifer kann diese Informationen in Verbindung mit anderen Informationen verwenden, um eine Verbindung zu einem RDS-Cluster oder einer RDS-Instance herzustellen oder zusätzliche Informationen über Ihre Anwendung zu erhalten.

Wenn Sie den Port ändern, müssen Sie auch die vorhandenen Verbindungszeichenfolgen aktualisieren, die für die Verbindung mit dem alten Port verwendet wurden. Sie sollten auch die Sicherheitsgruppe der DB-Instance überprüfen, um sicherzustellen, dass sie eine Eingangsregel enthält, die Konnektivität auf dem neuen Port ermöglicht.

### Abhilfe
<a name="rds-23-remediation"></a>

Informationen zum Ändern des Standardports einer vorhandenen RDS-DB-Instance finden Sie unter [Ändern einer Amazon RDS-DB-Instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) im *Amazon RDS-Benutzerhandbuch*. Informationen zum Ändern des Standardports eines vorhandenen RDS-DB-Clusters finden Sie unter [Ändern des DB-Clusters mithilfe der Konsole, der CLI und der API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) im *Amazon Aurora Aurora-Benutzerhandbuch*. Ändern Sie für den **Datenbankport** den Portwert auf einen Wert, der nicht dem Standard entspricht.

## [RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
<a name="rds-24"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2

**Kategorie**: Identifizieren > Ressourcenkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** `[rds-cluster-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-default-admin-check.html)`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon RDS-Datenbank-Cluster den Standardwert des Admin-Benutzernamens geändert hat. Die Steuerung gilt nicht für Engines des Typs Neptune (Neptune DB) oder docdb (DocumentDB). Diese Regel schlägt fehl, wenn der Admin-Benutzername auf den Standardwert gesetzt ist.

Wenn Sie eine Amazon RDS-Datenbank erstellen, sollten Sie den standardmäßigen Administratorbenutzernamen in einen eindeutigen Wert ändern. Standardbenutzernamen sind allgemein bekannt und sollten bei der Erstellung der RDS-Datenbank geändert werden. Durch das Ändern der Standardbenutzernamen wird das Risiko eines unbeabsichtigten Zugriffs verringert.

### Abhilfe
<a name="rds-24-remediation"></a>

Um den Admin-Benutzernamen zu ändern, der mit dem Amazon RDS-Datenbank-Cluster verknüpft ist, [erstellen Sie einen neuen RDS-Datenbank-Cluster](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html) und ändern Sie den Standard-Admin-Benutzernamen beim Erstellen der Datenbank.

## [RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden
<a name="rds-25"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2

**Kategorie**: Identifizieren > Ressourcenkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** `[rds-instance-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-default-admin-check.html)`

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Sie den Administrator-Benutzernamen für Amazon Relational Database Service (Amazon RDS) -Datenbank-Instances gegenüber dem Standardwert geändert haben. Die Steuerung schlägt fehl, wenn der Administrator-Benutzername auf den Standardwert gesetzt ist. Die Steuerung gilt nicht für Engines des Typs Neptune (Neptune DB) oder docdb (DocumentDB) und für RDS-Instances, die Teil eines Clusters sind. 

Standardmäßige Administratorbenutzernamen in Amazon RDS-Datenbanken sind allgemein bekannt. Wenn Sie eine Amazon RDS-Datenbank erstellen, sollten Sie den standardmäßigen Administratorbenutzernamen in einen eindeutigen Wert ändern, um das Risiko eines unbeabsichtigten Zugriffs zu verringern.

### Abhilfe
<a name="rds-25-remediation"></a>

Um den mit einer RDS-Datenbank-Instance verknüpften Administrator-Benutzernamen zu ändern, [erstellen Sie zunächst eine neue RDS-Datenbank-Instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html). Ändern Sie den standardmäßigen Administratorbenutzernamen beim Erstellen der Datenbank.

## [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden
<a name="rds-26"></a>

**Kategorie:** Wiederherstellung > Ausfallsicherheit > Backups aktiviert

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html)**``

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  Das Steuerelement gibt einen `PASSED` Befund aus, wenn der Parameter auf true gesetzt ist und die Ressource AWS Backup Vault Lock verwendet.  |  Boolesch  |  `true` oder `false`  |  Kein Standardwert  | 

Diese Kontrolle bewertet, ob Amazon RDS-DB-Instances durch einen Backup-Plan abgedeckt sind. Diese Kontrolle schlägt fehl, wenn die RDS-DB-Instance nicht durch einen Backup-Plan abgedeckt ist. Wenn Sie den `backupVaultLockCheck` Parameter auf gleich setzen`true`, wird die Kontrolle nur erfolgreich ausgeführt, wenn die Instance in einem AWS Backup gesperrten Tresor gesichert ist.

**Anmerkung**  
Dieses Steuerelement wertet Neptune- und DocumentDB-Instanzen nicht aus. Es bewertet auch keine RDS-DB-Instances, die Mitglieder eines Clusters sind.

AWS Backup ist ein vollständig verwalteter Backup-Service, der die gesamte Datensicherung zentralisiert und automatisiert. AWS-Services Mit können Sie Backup-Richtlinien erstellen AWS Backup, die als Backup-Pläne bezeichnet werden. Mit diesen Plänen können Sie Ihre Sicherungsanforderungen definieren, z. B. wie häufig Ihre Daten gesichert werden sollen und wie lange diese Sicherungen aufbewahrt werden sollen. Durch die Aufnahme von RDS-DB-Instances in einen Backup-Plan können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschung schützen.

### Abhilfe
<a name="rds-26-remediation"></a>

Informationen zum Hinzufügen einer RDS-DB-Instance zu einem AWS Backup Backup-Plan finden Sie unter [Zuweisen von Ressourcen zu einem Backup-Plan](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) im *AWS Backup Entwicklerhandbuch*.

## [RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden
<a name="rds-27"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html)**``

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein RDS-DB-Cluster im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn ein RDS-DB-Cluster im Ruhezustand nicht verschlüsselt ist.

Daten im Ruhezustand beziehen sich auf alle Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch Verschlüsselung können Sie die Vertraulichkeit solcher Daten schützen und so das Risiko verringern, dass ein unberechtigter Benutzer darauf zugreifen kann. Die Verschlüsselung Ihrer RDS-DB-Cluster schützt Ihre Daten und Metadaten vor unbefugtem Zugriff. Es erfüllt auch die Compliance-Anforderungen für die data-at-rest Verschlüsselung von Produktionsdateisystemen.

### Abhilfe
<a name="rds-27-remediation"></a>

Sie können die Verschlüsselung im Ruhezustand aktivieren, wenn Sie einen RDS-DB-Cluster erstellen. Sie können die Verschlüsselungseinstellungen nach dem Erstellen eines Clusters nicht ändern. Weitere Informationen finden Sie unter [Verschlüsseln eines Amazon Aurora Aurora-DB-Clusters](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html#Overview.Encryption.Enabling) im *Amazon Aurora Aurora-Benutzerhandbuch*.

## [RDS.28] RDS-DB-Cluster sollten markiert werden
<a name="rds-28"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config Regel:** `tagged-rds-dbcluster` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon RDS-DB-Cluster Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredTagKeys`. Die Steuerung schlägt fehl, wenn der DB-Cluster keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der DB-Cluster mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="rds-28-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem RDS-DB-Cluster finden Sie unter [Tagging Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.29] RDS-DB-Cluster-Snapshots sollten mit Tags versehen werden
<a name="rds-29"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBClusterSnapshot`

**AWS Config Regel:** `tagged-rds-dbclustersnapshot` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon RDS-DB-Cluster-Snapshot Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredTagKeys`. Die Steuerung schlägt fehl, wenn der DB-Cluster-Snapshot keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der DB-Cluster-Snapshot mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="rds-29-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem RDS-DB-Cluster-Snapshot finden Sie unter [Tagging Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.30] RDS-DB-Instances sollten markiert werden
<a name="rds-30"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config Regel:** `tagged-rds-dbinstance` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon RDS-DB-Instance Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredTagKeys`. Die Kontrolle schlägt fehl, wenn die DB-Instance keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die DB-Instance mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="rds-30-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer RDS-DB-Instance finden Sie unter [Tagging Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden
<a name="rds-31"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBSecurityGroup`

**AWS Config Regel:** `tagged-rds-dbsecuritygroup` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon RDS-DB-Sicherheitsgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind`requiredTagKeys`. Die Kontrolle schlägt fehl, wenn die DB-Sicherheitsgruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die DB-Sicherheitsgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="rds-31-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer RDS-DB-Sicherheitsgruppe finden Sie unter [Tagging Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.32] RDS-DB-Snapshots sollten markiert werden
<a name="rds-32"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBSnapshot`

**AWS Config Regel:** `tagged-rds-dbsnapshot` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon RDS-DB-Snapshot Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredTagKeys`. Die Steuerung schlägt fehl, wenn der DB-Snapshot keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der DB-Snapshot mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="rds-32-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem RDS-DB-Snapshot finden Sie unter [Tagging Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.33] RDS-DB-Subnetzgruppen sollten markiert werden
<a name="rds-33"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBSubnetGroup`

**AWS Config Regel:** `tagged-rds-dbsubnetgroups` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon RDS-DB-Subnetzgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die DB-Subnetzgruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat. `requiredTagKeys` Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die DB-Subnetzgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="rds-33-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer RDS-DB-Subnetzgruppe finden Sie unter [Tagging Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
<a name="rds-34"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html)**``

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob ein Amazon Aurora MySQL-DB-Cluster so konfiguriert ist, dass er Audit-Logs in Amazon CloudWatch Logs veröffentlicht. Die Steuerung schlägt fehl, wenn der Cluster nicht für die Veröffentlichung von Audit-Logs in Logs konfiguriert ist. CloudWatch Das Steuerelement generiert keine Ergebnisse für Aurora Serverless v1-DB-Cluster.

In Audit-Protokollen werden Datenbankaktivitäten aufgezeichnet, einschließlich Anmeldeversuchen, Datenänderungen, Schemaänderungen und anderen Ereignissen, die aus Sicherheits- und Compliance-Gründen geprüft werden können. Wenn Sie einen Aurora MySQL-DB-Cluster so konfigurieren, dass er Audit-Logs in einer Protokollgruppe in Amazon CloudWatch Logs veröffentlicht, können Sie eine Echtzeitanalyse der Protokolldaten durchführen. CloudWatch Logs speichert Protokolle in einem äußerst langlebigen Speicher. Sie können auch Alarme erstellen und Messwerte in anzeigen CloudWatch.

**Anmerkung**  
Eine alternative Möglichkeit, Audit-Logs in Logs zu CloudWatch veröffentlichen, besteht darin, die erweiterte Überwachung zu aktivieren und den DB-Parameter `server_audit_logs_upload` auf Clusterebene auf zu setzen. `1` Die Standardeinstellung für ist`server_audit_logs_upload parameter`. `0` Wir empfehlen jedoch, stattdessen die folgenden Anweisungen zur Problembehebung zu verwenden, um diese Kontrolle zu bestehen.

### Abhilfe
<a name="rds-34-remediation"></a>

Informationen zum Veröffentlichen von Aurora CloudWatch MySQL-DB-Cluster-Prüfprotokollen in Logs finden Sie unter [Veröffentlichen von Amazon Aurora CloudWatch Aurora-MySQL-Protokollen in Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) Logs im *Amazon Aurora Aurora-Benutzerhandbuch*.

## [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein
<a name="rds-35"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategorie**: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html)**``

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob das automatische Upgrade einer Nebenversion für einen Amazon RDS-Multi-AZ-DB-Cluster aktiviert ist. Die Steuerung schlägt fehl, wenn das automatische Upgrade der Nebenversion für den Multi-AZ-DB-Cluster nicht aktiviert ist.

RDS bietet ein automatisches Upgrade der Nebenversion, sodass Sie Ihren Multi-AZ-DB-Cluster auf dem neuesten Stand halten können. Nebenversionen können neue Softwarefunktionen, Bugfixes, Sicherheitspatches und Leistungsverbesserungen einführen. Durch die Aktivierung des automatischen Upgrades für Nebenversionen auf RDS-Datenbankclustern erhält der Cluster zusammen mit den Instances im Cluster automatische Updates für die Nebenversion, sobald neue Versionen verfügbar sind. Die Updates werden während des Wartungsfensters automatisch angewendet.

### Abhilfe
<a name="rds-35-remediation"></a>

Informationen zur Aktivierung des automatischen Upgrades auf Multi-AZ-DB-Clustern finden Sie unter [Ändern eines Multi-AZ-DB-Clusters](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/modify-multi-az-db-cluster.html) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
<a name="rds-36"></a>

**Verwandte Anforderungen**: PCI DSS v4.0.1/10.4.2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Durch Kommas getrennte Liste der Protokolltypen, die in Logs veröffentlicht werden sollen CloudWatch   |  StringList  |  Nicht anpassbar  |  `postgresql`  | 

Dieses Steuerelement prüft, ob eine Amazon RDS for PostgreSQL PostgreSQL-DB-Instance für die Veröffentlichung von Protokollen in Amazon CloudWatch Logs konfiguriert ist. Die Steuerung schlägt fehl, wenn die PostgreSQL-DB-Instance nicht so konfiguriert ist, dass sie die im `logTypes` Parameter genannten Protokolltypen in Logs veröffentlicht. CloudWatch 

Die Datenbankprotokollierung liefert detaillierte Aufzeichnungen von Anfragen, die an eine RDS-Instance gestellt wurden. PostgreSQL generiert Ereignisprotokolle, die nützliche Informationen für Administratoren enthalten. Durch die Veröffentlichung dieser CloudWatch Protokolle in Logs wird die Protokollverwaltung zentralisiert und Sie können die Protokolldaten in Echtzeit analysieren. CloudWatch Logs speichert die Protokolle in einem äußerst langlebigen Speicher. Sie können auch Alarme erstellen und Messwerte in anzeigenCloudWatch.

### Abhilfe
<a name="rds-36-remediation"></a>

Informationen zum Veröffentlichen von PostgreSQL-DB-Instance-Protokollen in CloudWatch Logs finden Sie unter [Veröffentlichen von PostgreSQL-Protokollen in Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.Concepts.PostgreSQL.PublishtoCloudWatchLogs) im *Amazon* RDS-Benutzerhandbuch.

## [RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
<a name="rds-37"></a>

**Verwandte Anforderungen**: PCI DSS v4.0.1/10.4.2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon Aurora PostgreSQL-DB-Cluster für die Veröffentlichung von Protokollen in Amazon CloudWatch Logs konfiguriert ist. Die Steuerung schlägt fehl, wenn der Aurora PostgreSQL-DB-Cluster nicht für die Veröffentlichung von PostgreSQL-Protokollen in Logs konfiguriert ist. CloudWatch 

Die Datenbankprotokollierung bietet detaillierte Aufzeichnungen von Anfragen, die an einen RDS-Cluster gestellt wurden. Aurora PostgreSQL generiert Ereignisprotokolle, die nützliche Informationen für Administratoren enthalten. Durch die Veröffentlichung dieser CloudWatch Protokolle in Logs wird die Protokollverwaltung zentralisiert und Sie können die Protokolldaten in Echtzeit analysieren. CloudWatch Logs speichert die Protokolle in einem äußerst langlebigen Speicher. Sie können auch Alarme erstellen und Messwerte in anzeigen CloudWatch.

### Abhilfe
<a name="rds-37-remediation"></a>

Informationen zum Veröffentlichen von Aurora CloudWatch PostgreSQL-DB-Cluster-Protokollen in Logs finden Sie unter [Veröffentlichen von Aurora PostgreSQL-Protokollen in Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.CloudWatch.html) im *Amazon* RDS-Benutzerhandbuch.

## [RDS.38] RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden
<a name="rds-38"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Verbindung zu einer Amazon RDS for PostgreSQL Datenbank-Instance (DB) während der Übertragung verschlüsselt ist. Die Steuerung schlägt fehl, wenn der `rds.force_ssl` Parameter für die der Instance zugeordnete Parametergruppe auf `0` (aus) gesetzt ist. Dieses Steuerelement bewertet keine RDS-DB-Instances, die Teil eines DB-Clusters sind.

Daten während der Übertragung beziehen sich auf Daten, die von einem Standort an einen anderen übertragen werden, z. B. zwischen Knoten in Ihrem Cluster oder zwischen Ihrem Cluster und Ihrer Anwendung. Daten können über das Internet oder innerhalb eines privaten Netzwerks übertragen werden. Durch die Verschlüsselung von Daten während der Übertragung wird das Risiko verringert, dass ein nicht autorisierter Benutzer den Netzwerkverkehr abhören kann.

### Abhilfe
<a name="rds-38-remediation"></a>

Informationen dazu, dass alle Verbindungen zu Ihrer RDS for PostgreSQL-DB-Instance SSL verwenden müssen, finden Sie unter [Verwenden von SSL mit einer PostgreSQL-DB-Instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/PostgreSQL.Concepts.General.SSL.html) im *Amazon* RDS-Benutzerhandbuch.

## [RDS.39] RDS für MySQL-DB-Instances sollten bei der Übertragung verschlüsselt werden
<a name="rds-39"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Verbindung zu einer Amazon RDS for MySQL Datenbank-Instance (DB) während der Übertragung verschlüsselt ist. Die Steuerung schlägt fehl, wenn der `rds.require_secure_transport` Parameter für die der Instance zugeordnete Parametergruppe auf `0` (aus) gesetzt ist. Dieses Steuerelement bewertet keine RDS-DB-Instances, die Teil eines DB-Clusters sind.

Daten während der Übertragung beziehen sich auf Daten, die von einem Standort an einen anderen übertragen werden, z. B. zwischen Knoten in Ihrem Cluster oder zwischen Ihrem Cluster und Ihrer Anwendung. Daten können über das Internet oder innerhalb eines privaten Netzwerks übertragen werden. Durch die Verschlüsselung von Daten während der Übertragung wird das Risiko verringert, dass ein nicht autorisierter Benutzer den Netzwerkverkehr abhören kann.

### Abhilfe
<a name="rds-39-remediation"></a>

Informationen dazu, dass alle Verbindungen zu Ihrer RDS for MySQL-DB-Instance SSL verwenden müssen, finden Sie unter [SSL/TLS-Unterstützung für MySQL-DB-Instances auf Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/MySQL.Concepts.SSLSupport.html) im *Amazon RDS-Benutzerhandbuch*.

## [RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
<a name="rds-40"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Eine Liste der Protokolltypen, für deren Veröffentlichung eine RDS for SQL Server-DB-Instance in Logs konfiguriert werden sollte. CloudWatch Diese Steuerung schlägt fehl, wenn eine DB-Instance nicht für die Veröffentlichung eines in der Liste angegebenen Protokolltyps konfiguriert ist.  |  EnumList (maximal 2 Elemente)  |  `agent`, `error`  |  `agent`, `error`  | 

Dieses Steuerelement prüft, ob eine Amazon RDS for Microsoft SQL Server-DB-Instance für die Veröffentlichung von Protokollen in Amazon CloudWatch Logs konfiguriert ist. Die Steuerung schlägt fehl, wenn die RDS for SQL Server-DB-Instance nicht für die Veröffentlichung von Protokollen in CloudWatch Logs konfiguriert ist. Sie können optional die Protokolltypen angeben, für deren Veröffentlichung eine DB-Instance konfiguriert werden soll.

Die Datenbankprotokollierung bietet detaillierte Aufzeichnungen von Anfragen, die an eine Amazon RDS-DB-Instance gestellt wurden. Durch die Veröffentlichung von CloudWatch Protokollen in Logs wird die Protokollverwaltung zentralisiert und Sie können Protokolldaten in Echtzeit analysieren. CloudWatch Logs speichert Protokolle in einem äußerst langlebigen Speicher. Darüber hinaus können Sie damit Alarme für bestimmte Fehler erstellen, die auftreten können, z. B. bei häufigen Neustarts, die in einem Fehlerprotokoll aufgezeichnet werden. Ebenso können Sie Alarme für Fehler oder Warnungen erstellen, die in SQL Server-Agent-Protokollen aufgezeichnet werden, die sich auf SQL-Agent-Jobs beziehen.

### Abhilfe
<a name="rds-40-remediation"></a>

Informationen zum Veröffentlichen von Protokollen in CloudWatch Logs für eine RDS for SQL Server-DB-Instance finden Sie in den [Datenbankprotokolldateien von Amazon RDS for Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.SQLServer.html) im *Amazon Relational Database Service User Guide*.

## [RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden
<a name="rds-41"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Verbindung zu einer Amazon RDS for Microsoft SQL Server-DB-Instance während der Übertragung verschlüsselt ist. Die Steuerung schlägt fehl, wenn der `rds.force_ssl` Parameter der Parametergruppe, die der DB-Instance zugeordnet ist, auf gesetzt ist`0 (off)`.

Daten während der Übertragung beziehen sich auf Daten, die von einem Standort an einen anderen übertragen werden, z. B. zwischen Knoten in einem DB-Cluster oder zwischen einem DB-Cluster und einer Client-Anwendung. Daten können über das Internet oder innerhalb eines privaten Netzwerks übertragen werden. Durch die Verschlüsselung von Daten während der Übertragung wird das Risiko verringert, dass unbefugte Benutzer den Netzwerkverkehr abhören.

### Abhilfe
<a name="rds-41-remediation"></a>

Informationen SSL/TLS zur Aktivierung von Verbindungen zu Amazon RDS-DB-Instances, auf denen Microsoft SQL Server ausgeführt wird, finden Sie [unter Verwenden von SSL mit einer Microsoft SQL Server-DB-Instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.html) im *Amazon Relational Database Service Service-Benutzerhandbuch*.

## [RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
<a name="rds-42"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 (10) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html](https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Eine Liste der Protokolltypen, für deren Veröffentlichung eine MariaDB-DB-Instance in Logs konfiguriert werden sollte. CloudWatch Das Steuerelement generiert einen `FAILED` Befund, wenn eine DB-Instance nicht für die Veröffentlichung eines in der Liste angegebenen Protokolltyps konfiguriert ist.  |  EnumList (maximal 4 Elemente)  |  `audit`, `error`, `general`, `slowquery`  |  `audit, error`  | 

Dieses Steuerelement prüft, ob eine Amazon RDS for MariaDB-DB-Instance so konfiguriert ist, dass sie bestimmte Protokolltypen in Amazon CloudWatch Logs veröffentlicht. Die Steuerung schlägt fehl, wenn die MariaDB-DB-Instance nicht so konfiguriert ist, dass sie die Protokolle in Logs veröffentlicht. CloudWatch Sie können optional angeben, für welche Arten von Protokollen eine MariaDB-DB-Instance für die Veröffentlichung konfiguriert werden soll.

Die Datenbankprotokollierung bietet detaillierte Aufzeichnungen von Anfragen, die an eine Amazon RDS for MariaDB-DB-Instance gestellt wurden. Durch die Veröffentlichung von CloudWatch Protokollen in Amazon Logs wird die Protokollverwaltung zentralisiert und Sie können die Protokolldaten in Echtzeit analysieren. Darüber hinaus speichert CloudWatch Logs die Protokolle dauerhaft, sodass Sicherheits-, Zugriffs- und Verfügbarkeitsprüfungen und Audits unterstützt werden können. Mit CloudWatch Logs können Sie auch Alarme erstellen und Messwerte überprüfen.

### Abhilfe
<a name="rds-42-remediation"></a>

Informationen zur Konfiguration einer Amazon RDS for MariaDB-DB-Instance zur Veröffentlichung von Protokollen in Amazon CloudWatch Logs finden Sie unter [Veröffentlichen von MariaDB-Protokollen in Amazon Logs im Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MariaDB.PublishtoCloudWatchLogs.html) *Relational* Database Service Service-Benutzerhandbuch.

## [RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern
<a name="rds-43"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBProxy`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon RDS-DB-Proxy TLS für alle Verbindungen zwischen dem Proxy und der zugrunde liegenden RDS-DB-Instance benötigt. Die Steuerung schlägt fehl, wenn der Proxy nicht TLS für alle Verbindungen zwischen dem Proxy und der RDS-DB-Instance benötigt.

Amazon RDS Proxy kann als zusätzliche Sicherheitsebene zwischen Client-Anwendungen und den zugrunde liegenden RDS-DB-Instances dienen. Sie können beispielsweise mithilfe von TLS 1.3 eine Verbindung zu einem RDS-Proxy herstellen, auch wenn die zugrunde liegende DB-Instance eine ältere Version von TLS unterstützt. Mithilfe von RDS Proxy können Sie strenge Authentifizierungsanforderungen für Datenbankanwendungen durchsetzen.

### Abhilfe
<a name="rds-43-remediation"></a>

Informationen zum Ändern der Einstellungen für einen Amazon RDS-Proxy, sodass TLS erforderlich ist, finden Sie unter [Ändern eines RDS-Proxys](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-modifying-proxy.html) im *Amazon Relational Database Service Service-Benutzerhandbuch*.

## [RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden
<a name="rds-44"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob Verbindungen zu einer Amazon RDS for MariaDB-DB-Instance während der Übertragung verschlüsselt werden. Die Steuerung schlägt fehl, wenn die der DB-Instance zugeordnete DB-Parametergruppe nicht synchron ist oder der `require_secure_transport` Parameter der Parametergruppe nicht auf gesetzt ist. `ON`

**Anmerkung**  
Dieses Steuerelement bewertet keine Amazon RDS-DB-Instances, die MariaDB-Versionen vor Version 10.5 verwenden. Der `require_secure_transport` Parameter wird nur für MariaDB-Versionen 10.5 und höher unterstützt.

Daten während der Übertragung beziehen sich auf Daten, die von einem Ort zu einem anderen übertragen werden, z. B. zwischen Knoten in einem DB-Cluster oder zwischen einem DB-Cluster und einer Client-Anwendung. Daten können über das Internet oder innerhalb eines privaten Netzwerks übertragen werden. Durch die Verschlüsselung von Daten während der Übertragung wird das Risiko verringert, dass unbefugte Benutzer den Netzwerkverkehr abhören.

### Abhilfe
<a name="rds-44-remediation"></a>

Informationen zur Aktivierung SSL/TLS von Verbindungen zu einer Amazon RDS for MariaDB-DB-Instance finden Sie unter Required [ SSL/TLS for all connections to a MariaDB DB Instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mariadb-ssl-connections.require-ssl.html) im *Amazon Relational* Database Service User Guide.

## [RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein
<a name="rds-45"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob für einen Amazon Aurora MySQL-DB-Cluster die Audit-Protokollierung aktiviert ist. Die Kontrolle schlägt fehl, wenn die dem DB-Cluster zugeordnete `server_audit_logging` DB-Parametergruppe nicht synchronisiert ist, der Parameter nicht auf `1` gesetzt ist oder der `server_audit_events` Parameter auf einen leeren Wert gesetzt ist.

Datenbankprotokolle können bei Sicherheits- und Zugriffsprüfungen helfen und bei der Diagnose von Verfügbarkeitsproblemen helfen. In Auditprotokollen werden Datenbankaktivitäten aufgezeichnet, darunter Anmeldeversuche, Datenänderungen, Schemaänderungen und andere Ereignisse, die aus Sicherheits- und Compliance-Gründen überprüft werden können.

### Abhilfe
<a name="rds-45-remediation"></a>

Informationen zur Aktivierung der Protokollierung für einen Amazon Aurora MySQL-DB-Cluster finden Sie unter [Veröffentlichen von Amazon Aurora CloudWatch MySQL-Protokollen in Amazon Logs](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) im *Amazon Aurora Aurora-Benutzerhandbuch*.

## [RDS.46] RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden
<a name="rds-46"></a>

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::RDS::DBInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon RDS-DB-Instance in einem öffentlichen Subnetz bereitgestellt wird, das über eine Route zu einem Internet-Gateway verfügt. Die Steuerung schlägt fehl, wenn die RDS-DB-Instance in einem Subnetz bereitgestellt wird, das über eine Route zu einem Internet-Gateway verfügt und das Ziel auf `0.0.0.0/0` oder gesetzt ist. `::/0`

Durch die Bereitstellung Ihrer Amazon RDS-Ressourcen in privaten Subnetzen können Sie verhindern, dass Ihre RDS-Ressourcen eingehenden Datenverkehr aus dem öffentlichen Internet empfangen, wodurch ein unbeabsichtigter Zugriff auf Ihre RDS-DB-Instances verhindert werden kann. Wenn RDS-Ressourcen in einem öffentlichen Subnetz bereitgestellt werden, das für das Internet zugänglich ist, können sie Risiken wie Datenexfiltration ausgesetzt sein.

### Abhilfe
<a name="rds-46-remediation"></a>

Informationen zur Bereitstellung eines privaten Subnetzes für eine Amazon RDS-DB-Instance finden Sie unter [Arbeiten mit einer DB-Instance in einer VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html) im *Amazon Relational Database* Service Service-Benutzerhandbuch.

## [RDS.47] RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden
<a name="rds-47"></a>

**Kategorie: Identifizieren > Inventar > Tagging**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon RDS for PostgreSQL PostgreSQL-DB-Cluster so konfiguriert ist, dass Tags automatisch in Snapshots des DB-Clusters kopiert werden, wenn die Snapshots erstellt werden. Die Steuerung schlägt fehl, wenn der `CopyTagsToSnapshot` Parameter `false` für den RDS for PostgreSQL-DB-Cluster auf gesetzt ist.

Das Kopieren von Tags in DB-Snapshots trägt zur ordnungsgemäßen Ressourcenverfolgung, Steuerung und Kostenzuweisung für alle Backup-Ressourcen bei. Dies ermöglicht eine konsistente Identifizierung von Ressourcen, Zugriffskontrolle und Compliance-Überwachung sowohl für aktive Datenbanken als auch für deren Snapshots. Richtig markierte Snapshots verbessern die Sicherheitsabläufe, indem sie sicherstellen, dass Backup-Ressourcen dieselben Metadaten wie ihre Quelldatenbanken erben.

### Abhilfe
<a name="rds-47-remediation"></a>

Informationen zur Konfiguration eines Amazon RDS for PostgreSQL PostgreSQL-DB-Clusters für das automatische Kopieren von Tags in DB-Snapshots finden Sie unter [Tagging Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) im *Amazon Relational* Database Service Service-Benutzerhandbuch.

## [RDS.48] RDS für MySQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden
<a name="rds-48"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon RDS for MySQL MySQL-DB-Cluster so konfiguriert ist, dass bei der Erstellung der Snapshots automatisch Tags in Snapshots des DB-Clusters kopiert werden. Die Steuerung schlägt fehl, wenn der `CopyTagsToSnapshot` Parameter `false` für den RDS for MySQL-DB-Cluster auf gesetzt ist.

Das Kopieren von Tags in DB-Snapshots trägt zur ordnungsgemäßen Ressourcenverfolgung, Steuerung und Kostenzuweisung für alle Backup-Ressourcen bei. Dies ermöglicht eine konsistente Identifizierung von Ressourcen, Zugriffskontrolle und Compliance-Überwachung sowohl für aktive Datenbanken als auch für deren Snapshots. Richtig markierte Snapshots verbessern die Sicherheitsabläufe, indem sie sicherstellen, dass Backup-Ressourcen dieselben Metadaten wie ihre Quelldatenbanken erben.

### Abhilfe
<a name="rds-48-remediation"></a>

Informationen zur Konfiguration eines Amazon RDS for MySQL MySQL-DB-Clusters für das automatische Kopieren von Tags in DB-Snapshots finden Sie unter [Tagging Amazon RDS-Ressourcen](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) im *Amazon Relational Database Service Service-Benutzerhandbuch*.

## [RDS.50] Für RDS-DB-Cluster sollte ein ausreichender Aufbewahrungszeitraum für Backups festgelegt sein
<a name="rds-50"></a>

**Kategorie:** Wiederherstellung > Ausfallsicherheit > Backups aktiviert 

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RDS::DBCluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  Die Mindestdauer für die Aufbewahrung von Backups in Tagen, die von der Kontrolle überprüft werden muss  |  Ganzzahl  |  `7` auf `35`  |  `7`  | 

Dieses Steuerelement prüft, ob ein RDS-DB-Cluster über eine Mindestaufbewahrungsdauer für Backups verfügt. Die Steuerung schlägt fehl, wenn die Aufbewahrungsdauer für Backups unter dem angegebenen Parameterwert liegt. Sofern Sie keinen benutzerdefinierten Parameterwert angeben, verwendet Security Hub einen Standardwert von 7 Tagen.

Dieses Steuerelement prüft, ob ein RDS-DB-Cluster über eine Mindestaufbewahrungsdauer für Backups verfügt. Die Steuerung schlägt fehl, wenn die Aufbewahrungsdauer für Backups unter dem angegebenen Parameterwert liegt. Sofern Sie keinen Kundenparameterwert angeben, verwendet Security Hub einen Standardwert von 7 Tagen. Diese Steuerung gilt für alle Arten von RDS-DB-Clustern, einschließlich Aurora-DB-Cluster, DocumentDB-Cluster, NeptuneDB-Cluster usw.

### Abhilfe
<a name="rds-50-remediation"></a>

Um den Aufbewahrungszeitraum für Backups für einen RDS-DB-Cluster zu konfigurieren, ändern Sie die Cluster-Einstellungen und legen Sie den Aufbewahrungszeitraum für Backups auf mindestens 7 Tage (oder den im Steuerparameter angegebenen Wert) fest. Eine ausführliche Anleitung finden Sie unter [Aufbewahrungszeitraum für Backup](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.BackupRetention.html) im *Amazon Relational Database Service Service-Benutzerhandbuch*. Informationen zu Aurora-DB-Clustern finden Sie unter [Überblick über das Sichern und Wiederherstellen eines Aurora-DB-Clusters](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Backups.html) im *Amazon Aurora Aurora-Benutzerhandbuch für Aurora*. Für andere Arten von DB-Clustern (z. B. DocumentDB-Cluster) finden Sie im entsprechenden Service-Benutzerhandbuch Informationen zur Aktualisierung der Aufbewahrungsfrist für Backups für den Cluster. 

# Security Hub CSPM-Steuerelemente für Amazon Redshift
<a name="redshift-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Redshift. Die Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten
<a name="redshift-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::Redshift::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine 

Dieses Steuerelement prüft, ob Amazon Redshift Redshift-Cluster öffentlich zugänglich sind. Es wertet das `PubliclyAccessible` Feld im Cluster-Konfigurationselement aus. 

Das `PubliclyAccessible` Attribut der Amazon Redshift Redshift-Cluster-Konfiguration gibt an, ob der Cluster öffentlich zugänglich ist. Wenn der Cluster mit „`PubliclyAccessible`gesetzt auf“ konfiguriert ist`true`, handelt es sich um eine mit dem Internet verbundene Instance mit einem öffentlich auflösbaren DNS-Namen, der in eine öffentliche IP-Adresse aufgelöst wird.

Wenn der Cluster nicht öffentlich zugänglich ist, handelt es sich um eine interne Instanz mit einem DNS-Namen, der in eine private IP-Adresse aufgelöst wird. Sofern Sie nicht beabsichtigen, dass Ihr Cluster öffentlich zugänglich ist, sollte der Cluster nicht mit der `PubliclyAccessible` Einstellung auf `true` konfiguriert werden.

### Abhilfe
<a name="redshift-1-remediation"></a>

Informationen zum Aktualisieren eines Amazon Redshift-Clusters zur Deaktivierung des öffentlichen Zugriffs finden Sie unter [Modifizieren eines Clusters](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) im *Amazon Redshift Management Guide*. **Stellen Sie **Öffentlich zugänglich auf Nein** ein.**

## [Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden
<a name="redshift-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1

**Kategorie: Schützen > Datenschutz >** Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Verbindungen zu Amazon Redshift Redshift-Clustern erforderlich sind, um Verschlüsselung bei der Übertragung zu verwenden. Die Prüfung schlägt fehl, wenn der Amazon Redshift Redshift-Clusterparameter `require_SSL` nicht auf `True` gesetzt ist.

TLS kann verwendet werden, um zu verhindern, dass potenzielle Angreifer person-in-the-middle oder ähnliche Angriffe verwenden, um den Netzwerkverkehr zu belauschen oder zu manipulieren. Nur verschlüsselte Verbindungen über TLS sollten zugelassen werden. Das Verschlüsseln von Daten während der Übertragung kann die Leistung beeinträchtigen. Sie sollten Ihre Anwendung mit dieser Funktion testen, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen. 

### Abhilfe
<a name="redshift-2-remediation"></a>

Informationen zum Aktualisieren einer Amazon Redshift-Parametergruppe, sodass eine Verschlüsselung erforderlich ist, finden Sie unter [Ändern einer Parametergruppe](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify) im *Amazon Redshift Management Guide*. **Auf True setzen`require_ssl`.**

## [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
<a name="redshift-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), (10), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-13 (5)

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Backups aktiviert 

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Redshift::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `​MinRetentionPeriod`  |  Minimale Aufbewahrungsdauer für Snapshots in Tagen  |  Ganzzahl  |  `7` auf `35`  |  `7`  | 

Dieses Steuerelement prüft, ob in einem Amazon Redshift Redshift-Cluster automatische Snapshots aktiviert sind und ob eine Aufbewahrungsdauer größer oder gleich dem angegebenen Zeitraum ist. Die Kontrolle schlägt fehl, wenn automatische Snapshots für den Cluster nicht aktiviert sind oder wenn die Aufbewahrungsdauer den angegebenen Zeitraum unterschreitet. Sofern Sie keinen benutzerdefinierten Parameterwert für die Aufbewahrungsdauer von Snapshots angeben, verwendet Security Hub CSPM einen Standardwert von 7 Tagen.

Mithilfe von Backups können Sie sich nach einem Sicherheitsvorfall schneller erholen. Sie stärken die Widerstandsfähigkeit Ihrer Systeme. Amazon Redshift erstellt standardmäßig regelmäßig Snapshots. Dieses Steuerelement prüft, ob automatische Snapshots aktiviert sind und mindestens sieben Tage lang aufbewahrt werden. Weitere Informationen zu automatisierten Amazon Redshift-Snapshots finden Sie unter [Automatisierte Snapshots](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots) im *Amazon Redshift* Management Guide.

### Abhilfe
<a name="redshift-3-remediation"></a>

Informationen zur Aktualisierung der Aufbewahrungsdauer von Snapshots für einen Amazon Redshift-Cluster finden Sie unter [Modifizieren eines Clusters](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) im *Amazon Redshift Management Guide*. Stellen Sie für **Backup** die **Snapshot-Aufbewahrung** auf einen Wert von 7 oder höher ein.

## [Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein
<a name="redshift-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::Redshift::Cluster`

**AWS Config Regel:** `redshift-cluster-audit-logging-enabled` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine 

Dieses Steuerelement prüft, ob für einen Amazon Redshift Redshift-Cluster die Audit-Protokollierung aktiviert ist.

Die Amazon Redshift Redshift-Audit-Protokollierung bietet zusätzliche Informationen über Verbindungen und Benutzeraktivitäten in Ihrem Cluster. Diese Daten können in Amazon S3 gespeichert und gesichert werden und können bei Sicherheitsüberprüfungen und Untersuchungen hilfreich sein. Weitere Informationen finden Sie unter [Protokollierung von Datenbankprüfungen](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html) im *Amazon Redshift Management Guide*.

### Abhilfe
<a name="redshift-4-remediation"></a>

Informationen zur Konfiguration der Audit-Protokollierung für einen Amazon Redshift-Cluster finden Sie unter [Konfiguration der Überwachung mithilfe der Konsole](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html) im *Amazon Redshift Management Guide*.

## [Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein
<a name="redshift-6"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIst.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIst.800-53.R5 SI-2 (4), NIst.800-53.R5 SI-2 (5)

**Kategorie**: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Redshift::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `allowVersionUpgrade = true`(nicht anpassbar)

Dieses Steuerelement prüft, ob automatische Hauptversions-Upgrades für den Amazon Redshift Redshift-Cluster aktiviert sind.

Durch die Aktivierung automatischer Hauptversions-Upgrades wird sichergestellt, dass die neuesten Hauptversionsupdates für Amazon Redshift Redshift-Cluster während des Wartungsfensters installiert werden. Diese Updates können Sicherheitspatches und Bugfixes enthalten. Es ist ein wichtiger Schritt zur Sicherung von Systemen, über die Installation von Patches auf dem Laufenden zu bleiben.

### Abhilfe
<a name="redshift-6-remediation"></a>

Um dieses Problem von zu beheben AWS CLI, verwenden Sie den Amazon Redshift `modify-cluster` Redshift-Befehl und legen Sie das `--allow-version-upgrade` Attribut fest. `clustername`ist der Name Ihres Amazon Redshift Redshift-Clusters.

```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```

## [Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden
<a name="redshift-7"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Privater API-Zugriff

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Redshift::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon Redshift Redshift-Cluster `EnhancedVpcRouting` aktiviert wurde.

Durch das verbesserte VPC-Routing wird der gesamte `COPY` `UNLOAD` Datenverkehr zwischen dem Cluster und den Datenrepositorys über Ihre VPC geleitet. Anschließend können Sie VPC-Features wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu schützen. Sie können VPC Flow Logs auch verwenden, um den Netzwerkverkehr zu überwachen.

### Abhilfe
<a name="redshift-7-remediation"></a>

Detaillierte Anweisungen zur Problembehebung finden Sie unter [Enabling enhanced VPC Routing](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html) im *Amazon Redshift Management Guide*.

## [Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden
<a name="redshift-8"></a>

**Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5** CM-2

**Kategorie**: Identifizieren > Ressourcenkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Redshift::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon Redshift Redshift-Cluster den Standardwert des Admin-Benutzernamens geändert hat. Diese Steuerung schlägt fehl, wenn der Admin-Benutzername für einen Redshift-Cluster auf `awsuser` gesetzt ist.

Wenn Sie einen Redshift-Cluster erstellen, sollten Sie den standardmäßigen Administratorbenutzernamen in einen eindeutigen Wert ändern. Standardbenutzernamen sind allgemein bekannt und sollten bei der Konfiguration geändert werden. Durch das Ändern der Standardbenutzernamen wird das Risiko eines unbeabsichtigten Zugriffs verringert.

### Abhilfe
<a name="redshift-8-remediation"></a>

Sie können den Admin-Benutzernamen für Ihren Amazon Redshift Redshift-Cluster nicht ändern, nachdem Sie ihn erstellt haben. Informationen zum Erstellen eines neuen Clusters mit einem nicht standardmäßigen Benutzernamen finden Sie unter [Schritt 1: Erstellen eines Amazon Redshift-Beispielclusters im Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html) *Getting* Started Guide.

## [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
<a name="redshift-10"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 (6)

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Redshift::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Amazon Redshift Redshift-Cluster im Ruhezustand verschlüsselt sind. Die Steuerung schlägt fehl, wenn ein Redshift-Cluster im Ruhezustand nicht verschlüsselt ist oder wenn sich der Verschlüsselungsschlüssel von dem im Regelparameter angegebenen Schlüssel unterscheidet.

In Amazon Redshift können Sie die Datenbankverschlüsselung für Ihre Cluster aktivieren, um Data-at-Rest besser zu schützen. Wenn Sie die Verschlüsselung für einen Cluster aktivieren, werden die Datenblöcke und die Metadaten des Systems für den Cluster und Snapshots des Clusters verschlüsselt. Die Verschlüsselung von Daten im Ruhezustand ist eine empfohlene bewährte Methode, da sie Ihren Daten eine Ebene der Zugriffsverwaltung hinzufügt. Die Verschlüsselung ruhender Redshift-Cluster reduziert das Risiko, dass ein nicht autorisierter Benutzer auf die auf der Festplatte gespeicherten Daten zugreifen kann.

### Abhilfe
<a name="redshift-10-remediation"></a>

Informationen zur Änderung eines Redshift-Clusters für die Verwendung der KMS-Verschlüsselung finden Sie unter [Ändern der Cluster-Verschlüsselung](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html) im *Amazon Redshift Management Guide*.

## [Redshift.11] Redshift-Cluster sollten markiert werden
<a name="redshift-11"></a>

**Kategorie: Identifizieren > Inventar > Tagging**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Redshift::Cluster`

**AWS Config Regel:** `tagged-redshift-cluster` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein Amazon Redshift Redshift-Cluster Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn der Cluster keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Cluster mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="redshift-11-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Redshift-Cluster finden Sie unter [Tagging resources in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) im *Amazon Redshift* Management Guide.

## [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden
<a name="redshift-12"></a>

**Kategorie: Identifizieren > Inventar > Tagging**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Redshift::EventSubscription`

**AWS Config Regel:** `tagged-redshift-eventsubscription` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein Amazon Redshift Redshift-Cluster-Snapshot Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn der Cluster-Snapshot keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Cluster-Snapshot mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="redshift-12-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Abonnement für Redshift-Ereignisbenachrichtigungen finden Sie unter [Tagging resources in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) im *Amazon Redshift* Management Guide.

## [Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden
<a name="redshift-13"></a>

**Kategorie: Identifizieren > Inventar > Tagging**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Redshift::ClusterSnapshot`

**AWS Config Regel:** `tagged-redshift-clustersnapshot` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein Amazon Redshift Redshift-Cluster-Snapshot Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn der Cluster-Snapshot keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Cluster-Snapshot mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="redshift-13-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Redshift-Cluster-Snapshot finden Sie unter [Tagging resources in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) im *Amazon Redshift* Management Guide.

## [Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden
<a name="redshift-14"></a>

**Kategorie: Identifizieren > Inventar > Tagging**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config Regel:** `tagged-redshift-clustersubnetgroup` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine Amazon Redshift Redshift-Cluster-Subnetzgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind. `requiredTagKeys` Die Steuerung schlägt fehl, wenn die Cluster-Subnetzgruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat. `requiredTagKeys` Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Cluster-Subnetzgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="redshift-14-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Redshift-Cluster-Subnetzgruppe finden Sie unter [Tagging resources in Amazon Redshift im *Amazon* Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Management Guide.

## [Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen
<a name="redshift-15"></a>

**Verwandte Anforderungen: PCI DSS v4.0.1/1.3.1**

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Sicherheitsgruppenkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::Redshift::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine mit einem Amazon Redshift Redshift-Cluster verknüpfte Sicherheitsgruppe über Eingangsregeln verfügt, die den Zugriff auf den Cluster-Port vom Internet aus ermöglichen (0.0.0.0/0 oder: :/0). Die Kontrolle schlägt fehl, wenn die Eingangsregeln der Sicherheitsgruppe den Zugriff auf den Cluster-Port über das Internet zulassen.

Das Zulassen eines uneingeschränkten eingehenden Zugriffs auf den Redshift-Cluster-Port (IP-Adresse mit dem Suffix /0) kann zu unbefugtem Zugriff oder Sicherheitsvorfällen führen. Wir empfehlen, bei der Erstellung von Sicherheitsgruppen und der Konfiguration von Regeln für eingehenden Datenverkehr das Prinzip des Zugriffs mit den geringsten Rechten anzuwenden.

### Abhilfe
<a name="redshift-15-remediation"></a>

Informationen zur Beschränkung des Eingangs auf dem Redshift-Cluster-Port auf eingeschränkte Ursprünge finden Sie unter [Arbeiten mit Sicherheitsgruppenregeln](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) im *Amazon VPC-Benutzerhandbuch*. Aktualisieren Sie Regeln, bei denen der Portbereich mit dem Redshift-Cluster-Port übereinstimmt und der IP-Portbereich 0.0.0.0/0 ist.

## [Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben
<a name="redshift-16"></a>

**Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit**

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Die Steuerung prüft, ob eine Amazon Redshift Redshift-Cluster-Subnetzgruppe Subnetze aus mehr als einer Availability Zone (AZ) hat. Die Steuerung schlägt fehl, wenn die Cluster-Subnetzgruppe keine Subnetze aus mindestens zwei verschiedenen Subnetzen hat. AZs

Durch die Konfiguration mehrerer AZs Subnetze wird sichergestellt, dass Ihr Redshift Data Warehouse auch bei Ausfällen weiterbetrieben werden kann.

### Abhilfe
<a name="redshift-16-remediation"></a>

Informationen zum Ändern einer Redshift-Cluster-Subnetzgruppe, sodass sie sich über mehrere erstreckt AZs, finden Sie unter [Ändern einer Cluster-Subnetzgruppe](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html) im *Amazon Redshift* Management Guide.

## [Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden
<a name="redshift-17"></a>

**Kategorie: Identifizieren > Inventar > Tagging**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Redshift::ClusterParameterGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob eine Amazon Redshift Redshift-Cluster-Parametergruppe die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel hat. Die Steuerung schlägt fehl, wenn die Parametergruppe keine Tag-Schlüssel oder nicht alle durch den `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Parametergruppe keine Tag-Schlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="redshift-17-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Amazon Redshift-Cluster-Parametergruppe finden Sie unter [Tag-Ressourcen in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) im *Amazon Redshift* Management Guide.

## [Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein
<a name="redshift-18"></a>

**Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit**

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Redshift::Cluster`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob mehrere Availability Zones (Multi-AZ) -Bereitstellungen für einen Amazon Redshift Redshift-Cluster aktiviert sind. Die Steuerung schlägt fehl, wenn Multi-AZ-Bereitstellungen für den Amazon Redshift Redshift-Cluster nicht aktiviert sind.

Amazon Redshift unterstützt mehrere Availability Zones (Multi-AZ) -Bereitstellungen für bereitgestellte Cluster. Wenn Multi-AZ-Bereitstellungen für einen Cluster aktiviert sind, kann ein Amazon Redshift Data Warehouse in Ausfallszenarien weiterarbeiten, wenn ein unerwartetes Ereignis in einer Availability Zone (AZ) eintritt. Bei einer Multi-AZ-Bereitstellung werden Rechenressourcen in mehr als einer AZ bereitgestellt, und auf diese Rechenressourcen kann über einen einzigen Endpunkt zugegriffen werden. Im Falle eines vollständigen AZ-Ausfalls stehen die verbleibenden Rechenressourcen in einer anderen AZ zur Verfügung, um die Verarbeitung von Workloads fortzusetzen. Sie können ein vorhandenes Single-AZ-Data Warehouse in ein Multi-AZ-Data Warehouse umwandeln. Zusätzliche Rechenressourcen werden dann in einer zweiten AZ bereitgestellt.

### Abhilfe
<a name="redshift-18-remediation"></a>

*Informationen zur Konfiguration von Multi-AZ-Bereitstellungen für einen Amazon Redshift-Cluster finden Sie unter [Konvertieren eines Single-AZ-Data Warehouse in ein Multi-AZ-Data Warehouse](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html) im Amazon Redshift Management Guide.*

# Security Hub CSPM-Steuerelemente für Amazon Redshift Serverless
<a name="redshiftserverless-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Redshift Serverless. Die Steuerelemente sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden
<a name="redshiftserverless-1"></a>

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen in VPC

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::RedshiftServerless::Workgroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob erweitertes VPC-Routing für eine Amazon Redshift Serverless-Arbeitsgruppe aktiviert ist. Die Steuerung schlägt fehl, wenn das erweiterte VPC-Routing für die Arbeitsgruppe deaktiviert ist.

Wenn erweitertes VPC-Routing für eine Amazon Redshift Serverless-Arbeitsgruppe deaktiviert ist, leitet Amazon Redshift den Datenverkehr über das Internet weiter, einschließlich des Datenverkehrs zu anderen Diensten innerhalb des Netzwerks. AWS Wenn Sie erweitertes VPC-Routing für eine Arbeitsgruppe aktivieren, zwingt Amazon Redshift den gesamten `UNLOAD` Datenverkehr zwischen Ihrem Cluster `COPY` und Ihren Datenrepositorys über Ihre Virtual Private Cloud (VPC), die auf dem Amazon VPC-Service basiert. Mit erweitertem VPC-Routing können Sie Standard-VPC-Funktionen verwenden, um den Datenfluss zwischen Ihrem Amazon Redshift Redshift-Cluster und anderen Ressourcen zu steuern. Dazu gehören Funktionen wie VPC-Sicherheitsgruppen und Endpunktrichtlinien, Netzwerkzugriffskontrolllisten (ACLs) und DNS-Server (Domain Name System). Sie können auch VPC-Flow-Logs verwenden, um den `UNLOAD` Datenverkehr `COPY` zu überwachen.

### Abhilfe
<a name="redshiftserverless-1-remediation"></a>

Weitere Informationen über erweitertes VPC-Routing und dessen Aktivierung für eine Arbeitsgruppe finden Sie unter [Steuern des Netzwerkverkehrs mit erweitertem Redshift-VPC-Routing im *Amazon* Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) Management Guide.

## [RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein
<a name="redshiftserverless-2"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RedshiftServerless::Workgroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob Verbindungen zu einer Amazon Redshift Serverless-Arbeitsgruppe erforderlich sind, um Daten während der Übertragung zu verschlüsseln. Die Steuerung schlägt fehl, wenn der `require_ssl` Konfigurationsparameter für die Arbeitsgruppe auf gesetzt ist. `false`

Eine Amazon Redshift Serverless-Arbeitsgruppe ist eine Sammlung von Rechenressourcen, die Rechenressourcen wie RPUs VPC-Subnetzgruppen und Sicherheitsgruppen gruppiert. Zu den Eigenschaften einer Arbeitsgruppe gehören Netzwerk- und Sicherheitseinstellungen. Diese Einstellungen geben an, ob Verbindungen zu einer Arbeitsgruppe erforderlich sein sollen, um SSL zur Verschlüsselung von Daten während der Übertragung zu verwenden.

### Abhilfe
<a name="redshiftserverless-2-remediation"></a>

*Informationen zur Aktualisierung der Einstellungen für eine Amazon Redshift Serverless-Arbeitsgruppe, sodass SSL-Verbindungen erforderlich sind, finden Sie unter [Connecting to Amazon Redshift Serverless im Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html) Management Guide.*

## [RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
<a name="redshiftserverless-3"></a>

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::RedshiftServerless::Workgroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob der öffentliche Zugriff für eine Amazon Redshift Serverless-Arbeitsgruppe deaktiviert ist. Es bewertet die `publiclyAccessible` Eigenschaft einer Redshift Serverless-Arbeitsgruppe. Die Steuerung schlägt fehl, wenn der öffentliche Zugriff für die Arbeitsgruppe aktiviert ist (`true`).

Die Einstellung public access (`publiclyAccessible`) für eine Amazon Redshift Serverless-Arbeitsgruppe gibt an, ob auf die Arbeitsgruppe von einem öffentlichen Netzwerk aus zugegriffen werden kann. Wenn der öffentliche Zugriff für eine Arbeitsgruppe aktiviert (`true`) ist, erstellt Amazon Redshift eine Elastic IP-Adresse, die die Arbeitsgruppe von außerhalb der VPC öffentlich zugänglich macht. Wenn Sie nicht möchten, dass eine Arbeitsgruppe öffentlich zugänglich ist, deaktivieren Sie den öffentlichen Zugriff für sie.

### Abhilfe
<a name="redshiftserverless-3-remediation"></a>

Informationen zum Ändern der Einstellung für den öffentlichen Zugriff für eine Amazon Redshift Serverless-Arbeitsgruppe finden Sie unter [Anzeigen der Eigenschaften für eine Arbeitsgruppe](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html) im *Amazon* Redshift Management Guide.

## [RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys
<a name="redshiftserverless-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), 2 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 (6)

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RedshiftServerless::Namespace`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Eine Liste von Amazon-Ressourcennamen (ARNs) AWS KMS keys , die in die Bewertung aufgenommen werden sollen. Das Steuerelement generiert einen `FAILED` Befund, wenn ein Redshift Serverless-Namespace nicht mit einem KMS-Schlüssel in der Liste verschlüsselt ist.  |  StringList (maximal 3 Elemente)  |  1—3 ARNs der vorhandenen KMS-Schlüssel. Beispiel: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`.  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon Redshift Serverless-Namespace im Ruhezustand verschlüsselt ist, wenn ein Kunde verwaltet wird. AWS KMS key Die Steuerung schlägt fehl, wenn der Redshift Serverless-Namespace nicht mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt ist. Sie können optional eine Liste von KMS-Schlüsseln angeben, die das Steuerelement in die Bewertung einbeziehen soll.

In Amazon Redshift Serverless definiert ein Namespace einen logischen Container für Datenbankobjekte. Dieses Steuerelement überprüft regelmäßig, ob die Verschlüsselungseinstellungen für einen Namespace einen vom Kunden verwalteten AWS KMS key anstelle eines AWS verwalteten KMS-Schlüssels für die Verschlüsselung von Daten im Namespace angeben. Mit einem vom Kunden verwalteten KMS-Schlüssel haben Sie die volle Kontrolle über den Schlüssel. Dazu gehören die Definition und Pflege der Schlüsselrichtlinie, die Verwaltung von Zuschüssen, die Rotation von kryptografischem Material, die Zuweisung von Tags, die Erstellung von Aliasnamen sowie die Aktivierung und Deaktivierung des Schlüssels.

### Abhilfe
<a name="redshiftserverless-4-remediation"></a>

Informationen zur Aktualisierung der Verschlüsselungseinstellungen für einen Amazon Redshift Serverless-Namespace und zur Angabe eines vom Kunden verwalteten AWS KMS key Namespace finden Sie unter [Ändern des AWS KMS key für einen Namespace](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html) im *Amazon* Redshift Management Guide.

## [RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden
<a name="redshiftserverless-5"></a>

**Kategorie: Identifizieren > Ressourcenkonfiguration**

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::RedshiftServerless::Namespace`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob der Admin-Benutzername für einen Amazon Redshift Serverless-Namespace der Standard-Admin-Benutzername ist. `admin` Die Steuerung schlägt fehl, wenn der Admin-Benutzername für den Redshift Serverless-Namespace lautet. `admin` 

Wenn Sie einen Amazon Redshift Serverless-Namespace erstellen, sollten Sie einen benutzerdefinierten Admin-Benutzernamen für den Namespace angeben. Der standardmäßige Admin-Benutzername ist public knowledge. Durch die Angabe eines benutzerdefinierten Admin-Benutzernamens können Sie beispielsweise dazu beitragen, das Risiko oder die Effektivität von Brute-Force-Angriffen gegen den Namespace zu verringern.

### Abhilfe
<a name="redshiftserverless-5-remediation"></a>

Sie können den Admin-Benutzernamen für einen Amazon Redshift Serverless-Namespace mithilfe der Amazon Redshift Serverless-Konsole oder API ändern. **Um ihn mithilfe der Konsole zu ändern, wählen Sie die Namespace-Konfiguration und wählen Sie dann im Menü Aktionen die Option **Administratoranmeldedaten bearbeiten** aus.** [Um ihn programmgesteuert zu ändern, verwenden Sie den [UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html)Vorgang oder, falls Sie den verwenden AWS CLI, führen Sie den Befehl update-namespace aus.](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html) Wenn Sie den Admin-Benutzernamen ändern, müssen Sie gleichzeitig auch das Admin-Passwort ändern.

## [RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch
<a name="redshiftserverless-6"></a>

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::RedshiftServerless::Namespace`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon Redshift Serverless Namespace so konfiguriert ist, dass er Verbindungs- und Benutzerprotokolle nach Amazon Logs exportiert. CloudWatch Die Steuerung schlägt fehl, wenn der Redshift Serverless-Namespace nicht für den Export der Protokolle in Logs konfiguriert ist. CloudWatch 

Wenn Sie Amazon Redshift Serverless so konfigurieren, dass Verbindungsprotokoll- (`connectionlog`) und Benutzerprotokolldaten (`userlog`) in eine Protokollgruppe in Amazon CloudWatch Logs exportiert werden, können Sie Ihre Protokolldatensätze sammeln und in einem dauerhaften Speicher speichern, der Sicherheits-, Zugriffs- und Verfügbarkeitsprüfungen und Audits unterstützt. Mit CloudWatch Logs können Sie auch Protokolldaten in Echtzeit analysieren und diese zur Erstellung von Alarmen und CloudWatch zur Überprüfung von Metriken verwenden.

### Abhilfe
<a name="redshiftserverless-6-remediation"></a>

Um Protokolldaten für einen Amazon Redshift Serverless-Namespace nach Amazon CloudWatch Logs zu exportieren, müssen die entsprechenden Protokolle in den Konfigurationseinstellungen für die Auditprotokollierung für den Namespace für den Export ausgewählt werden. Informationen zur Aktualisierung dieser Einstellungen finden Sie unter [Sicherheit und Verschlüsselung bearbeiten](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html) im *Amazon Redshift Management Guide*.

# Security Hub CSPM-Steuerelemente für Route 53
<a name="route53-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Route 53.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
<a name="route53-1"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Route53::HealthCheck`

**AWS Config Regel:** `tagged-route53-healthcheck` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon Route 53-Zustandsprüfung Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredTagKeys`. Die Kontrolle schlägt fehl, wenn die Zustandsprüfung keine Tag-Schlüssel enthält oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Zustandsprüfung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="route53-1-remediation"></a>

Informationen zum Hinzufügen von Stichwörtern zu einer Route 53-Zustandsprüfung finden Sie unter [Benennen und Kennzeichnen von Zustandsprüfungen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-tagging.html) im *Amazon Route 53-Entwicklerhandbuch*.

## [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren
<a name="route53-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::Route53::HostedZone`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die DNS-Abfrageprotokollierung für eine öffentlich gehostete Zone von Amazon Route 53 aktiviert ist. Die Steuerung schlägt fehl, wenn die DNS-Abfrageprotokollierung für eine öffentlich gehostete Route 53-Zone nicht aktiviert ist.

Das Protokollieren von DNS-Abfragen für eine von Route 53 gehostete Zone entspricht den DNS-Sicherheits- und Compliance-Anforderungen und sorgt für Transparenz. Die Protokolle enthalten Informationen wie die abgefragte Domäne oder Subdomäne, Datum und Uhrzeit der Abfrage, den DNS-Eintragstyp (z. B. A oder AAAA) und den DNS-Antwortcode (z. B. oder). `NoError` `ServFail` Wenn die DNS-Abfrageprotokollierung aktiviert ist, veröffentlicht Route 53 die Protokolldateien in Amazon CloudWatch Logs.

### Abhilfe
<a name="route53-2-remediation"></a>

Informationen zum Protokollieren von DNS-Abfragen für öffentlich gehostete Route 53-Zonen finden Sie unter [Konfiguration der Protokollierung für DNS-Abfragen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html#query-logs-configuring) im *Amazon Route 53-Entwicklerhandbuch*.

# Security Hub CSPM-Steuerelemente für Amazon S3
<a name="s3-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen des Amazon Simple Storage Service (Amazon S3). Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein
<a name="s3-1"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21), NIST.800-53.r5 AC-3,, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20), (21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html) 

**Art des Zeitplans:** Periodisch

**Parameter:** 
+ `ignorePublicAcls`: `true` (nicht anpassbar)
+ `blockPublicPolicy`: `true` (nicht anpassbar)
+ `blockPublicAcls`: `true` (nicht anpassbar)
+ `restrictPublicBuckets`: `true` (nicht anpassbar)

Diese Kontrolle prüft, ob die oben genannten Amazon S3 S3-Einstellungen für den öffentlichen Zugriff blockieren auf Kontoebene für einen S3-Allzweck-Bucket konfiguriert sind. Die Steuerung schlägt fehl, wenn eine oder mehrere der Einstellungen zum Blockieren des öffentlichen Zugriffs auf gesetzt sind`false`.

Die Steuerung schlägt fehl`false`, wenn eine der Einstellungen auf eingestellt ist oder wenn eine der Einstellungen nicht konfiguriert ist.

Amazon S3 Public Access Block wurde entwickelt, um Kontrollen auf der gesamten AWS-Konto oder auf der Ebene einzelner S3-Buckets bereitzustellen, um sicherzustellen, dass Objekte niemals öffentlich zugänglich sind. Öffentlicher Zugriff auf Buckets und Objekte wird über Zugriffskontrolllisten (ACLs), Bucket-Richtlinien oder beides gewährt.

Sofern Sie nicht beabsichtigen, Ihre S3-Buckets öffentlich zugänglich zu machen, sollten Sie die Amazon S3 Block Public Access-Funktion auf Kontoebene konfigurieren.

Weitere Informationen finden Sie unter [Verwenden von Amazon S3 Block Public Access](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

### Abhilfe
<a name="s3-1-remediation"></a>

Informationen zur Aktivierung von Amazon S3 Block Public Access für Sie AWS-Konto finden Sie unter [Konfiguration der Einstellungen für den Block Public Access für Ihr Konto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

## [S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren
<a name="s3-2"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7),, (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20) NIST.800-53.r5 AC-6, (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)

**Art des Zeitplans:** Periodisch und durch Änderung ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob ein Amazon S3 S3-Allzweck-Bucket öffentlichen Lesezugriff gewährt. Es überprüft die Einstellungen für „Block Public Access“ (Blockieren des öffentlichen Zugriffs), die Bucket-Richtlinie und die Bucket-Zugriffskontrollliste (ACL). Die Kontrolle schlägt fehl, wenn der Bucket öffentlichen Lesezugriff gewährt.

**Anmerkung**  
Wenn ein S3-Bucket über eine Bucket-Richtlinie verfügt, wertet dieses Steuerelement keine Richtlinienbedingungen aus, die Platzhalterzeichen oder Variablen verwenden. Um ein `PASSED` Ergebnis zu erzielen, dürfen Bedingungen in der Bucket-Richtlinie nur feste Werte verwenden, d. h. Werte, die keine Platzhalterzeichen oder Richtlinienvariablen enthalten. Informationen zu Richtlinienvariablen finden Sie unter [Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) im *AWS Identity and Access Management Benutzerhandbuch*.

In einigen Anwendungsfällen kann es erforderlich sein, dass jeder im Internet aus Ihrem S3-Bucket lesen kann. Solche Situationen sind jedoch selten. Um die Integrität und Sicherheit Ihrer Daten zu gewährleisten, sollte Ihr S3-Bucket nicht öffentlich lesbar sein.

### Abhilfe
<a name="s3-2-remediation"></a>

Informationen zum Blockieren des öffentlichen Lesezugriffs auf Ihre Amazon S3 S3-Buckets finden Sie unter [Konfiguration der Einstellungen zum Sperren des öffentlichen Zugriffs für Ihre S3-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

## [S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren
<a name="s3-3"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21), (21), (11), (16) NIST.800-53.r5 AC-3, (20), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (3)) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) 

**Art des Zeitplans:** Periodisch und durch Änderung ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob ein Amazon S3 S3-Allzweck-Bucket öffentlichen Schreibzugriff zulässt. Es überprüft die Einstellungen für „Block Public Access“ (Blockieren des öffentlichen Zugriffs), die Bucket-Richtlinie und die Bucket-Zugriffskontrollliste (ACL). Die Kontrolle schlägt fehl, wenn der Bucket öffentlichen Schreibzugriff zulässt.

**Anmerkung**  
Wenn ein S3-Bucket über eine Bucket-Richtlinie verfügt, wertet dieses Steuerelement keine Richtlinienbedingungen aus, die Platzhalterzeichen oder Variablen verwenden. Um ein `PASSED` Ergebnis zu erzielen, dürfen Bedingungen in der Bucket-Richtlinie nur feste Werte verwenden, d. h. Werte, die keine Platzhalterzeichen oder Richtlinienvariablen enthalten. Informationen zu Richtlinienvariablen finden Sie unter [Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) im *AWS Identity and Access Management Benutzerhandbuch*.

Einige Anwendungsfälle erfordern, dass jeder im Internet in den S3-Bucket schreiben kann. Solche Situationen sind jedoch selten. Um die Integrität und Sicherheit Ihrer Daten zu gewährleisten, sollte Ihr S3-Bucket nicht öffentlich beschreibbar sein.

### Abhilfe
<a name="s3-3-remediation"></a>

Informationen zum Blockieren des öffentlichen Schreibzugriffs auf Ihre Amazon S3 S3-Buckets finden Sie unter [Konfiguration der Einstellungen zum Sperren des öffentlichen Zugriffs für Ihre S3-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

## [S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern
<a name="s3-5"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/2.1.1, CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3), 3 NIST.800-53.r5 AC-4, 3 NIST.800-53.r5 IA-5 (3), (4),, (1), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v3.2.1/4.1, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob ein Amazon S3 S3-Allzweck-Bucket über eine Richtlinie verfügt, die verlangt, dass Anfragen SSL verwenden. Die Kontrolle schlägt fehl, wenn die Bucket-Richtlinie keine Anfragen zur Verwendung von SSL erfordert.

S3-Buckets sollten über Richtlinien verfügen, die vorschreiben, dass alle Anfragen (`Action: S3:*`) in der S3-Ressourcenrichtlinie, wie durch den Bedingungsschlüssel `aws:SecureTransport` angegeben, nur die Übertragung von Daten über HTTPS akzeptieren.

### Abhilfe
<a name="s3-5-remediation"></a>

Informationen zur Aktualisierung einer Amazon S3 S3-Bucket-Richtlinie, um unsicheren Transport zu verweigern, finden Sie unter [Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

Fügen Sie eine Richtlinienerklärung hinzu, die der in der folgenden Richtlinie ähnelt. `amzn-s3-demo-bucket`Ersetzen Sie es durch den Namen des Buckets, den Sie ändern.

------
#### [ JSON ]

****  

```
{
    "Id": "ExamplePolicy",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}
```

------

Weitere Informationen finden Sie unter [Welche S3-Bucket-Richtlinie sollte ich verwenden, um die AWS Config Regel s3- einzuhaltenbucket-ssl-requests-only?](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/) im *AWS offiziellen Knowledge Center*.

## [S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten
<a name="s3-6"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-171.r2 3.13.4

**Kategorie**: Schützen > Sichere Zugriffsverwaltung > Eingeschränkte Aktionen für sensible API-Operationen 

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config**-Regel: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `blacklistedactionpatterns`: `s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl` (nicht anpassbar)

Diese Kontrolle prüft, ob eine allgemeine Amazon S3 S3-Bucket-Richtlinie verhindert, dass Principals AWS-Konten von anderen Personen abgelehnte Aktionen für Ressourcen im S3-Bucket ausführen. Die Kontrolle schlägt fehl, wenn die Bucket-Richtlinie eine oder mehrere der vorherigen Aktionen für einen Prinzipal in einem anderen AWS-Konto zulässt.

Die Implementierung des Zugriffs mit den geringsten Rechten ist von grundlegender Bedeutung, um das Sicherheitsrisiko und die Auswirkungen von Fehlern oder böswilligen Absichten zu verringern. Wenn eine S3-Bucket-Richtlinie den Zugriff von externen Konten aus ermöglicht, kann dies zu einer Datenexfiltration durch eine Insider-Bedrohung oder einen Angreifer führen.

Der `blacklistedactionpatterns` Parameter ermöglicht eine erfolgreiche Auswertung der Regel für S3-Buckets. Der Parameter gewährt Zugriff auf externe Konten für Aktionsmuster, die nicht in der `blacklistedactionpatterns` Liste enthalten sind.

### Abhilfe
<a name="s3-6-remediation"></a>

Informationen zum Aktualisieren einer Amazon S3 S3-Bucket-Richtlinie zum Entfernen von Berechtigungen finden Sie unter. [Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

Führen Sie auf der Seite **Bucket-Richtlinie bearbeiten** im Textfeld zur Richtlinienbearbeitung eine der folgenden Aktionen aus:
+ Entfernen Sie die Anweisungen, die anderen AWS-Konten Zugriff auf verweigerte Aktionen gewähren.
+ Entfernen Sie die zulässigen verweigerten Aktionen aus den Anweisungen.

## [S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden
<a name="s3-7"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), NIST.800-53.R5 SI-13 NIST.800-53.r5 SC-5 (5)

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)**

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für einen Amazon S3 S3-Allzweck-Bucket die regionsübergreifende Replikation aktiviert ist. Die Steuerung schlägt fehl, wenn für den Bucket keine regionsübergreifende Replikation aktiviert ist.

Bei der Replikation handelt es sich um das automatische, asynchrone Kopieren von Objekten zwischen Buckets, die sich im selben oder in unterschiedlichen Buckets befinden. AWS-Regionen Bei der Replikation werden neu erstellte Objekte und Objektaktualisierungen von einem Quell-Bucket in einen oder mehrere Ziel-Buckets kopiert. AWS In bewährten Verfahren wird die Replikation für Quell- und Ziel-Buckets empfohlen, die demselben Eigentümer gehören. AWS-Konto Zusätzlich zur Verfügbarkeit sollten Sie andere Einstellungen für die Systemstabilisierung berücksichtigen.

Dieses Steuerelement generiert einen `FAILED` Befund für einen Replizierungsziel-Bucket, wenn für diesen keine regionsübergreifende Replikation aktiviert ist. Wenn es einen legitimen Grund dafür gibt, dass für die Aktivierung des Ziel-Buckets keine regionsübergreifende Replikation erforderlich ist, können Sie die Ergebnisse für diesen Bucket unterdrücken.

### Abhilfe
<a name="s3-7-remediation"></a>

Informationen zur Aktivierung der regionsübergreifenden Replikation auf einem S3-Bucket finden Sie unter [Konfiguration der Replikation für Quell- und Ziel-Buckets, die demselben Konto gehören](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html), im *Amazon Simple Storage Service-Benutzerhandbuch*. Wählen Sie für **Quell-Bucket** die Option Auf **alle Objekte im Bucket anwenden aus**.

## [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren
<a name="s3-8"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.02.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategorie**: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**
+ `excludedPublicBuckets`(nicht anpassbar) — Eine durch Kommas getrennte Liste bekannter zulässiger öffentlicher S3-Bucket-Namen

Diese Kontrolle prüft, ob ein Amazon S3 S3-Allzweck-Bucket den öffentlichen Zugriff auf Bucket-Ebene blockiert. Die Steuerung schlägt fehl, wenn eine der folgenden Einstellungen auf gesetzt ist`false`:
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`

Block Public Access auf S3-Bucket-Ebene bietet Kontrollen, mit denen sichergestellt wird, dass Objekte niemals öffentlich zugänglich sind. Öffentlicher Zugriff auf Buckets und Objekte wird über Zugriffskontrolllisten (ACLs), Bucket-Richtlinien oder beides gewährt.

Sofern Sie nicht beabsichtigen, Ihre S3-Buckets öffentlich zugänglich zu machen, sollten Sie die Amazon S3 Block Public Access-Funktion auf Bucket-Ebene konfigurieren.

### Abhilfe
<a name="s3-8-remediation"></a>

Informationen zum Entfernen des öffentlichen Zugriffs auf Bucket-Ebene finden Sie unter [Blockieren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) im *Amazon S3 S3-Benutzerhandbuch*.

## [S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein
<a name="s3-9"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), NIST.800-171.R2 3.3.8, PCI DSS v4.0.1/10.2.1

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::S3::Bucket`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Serverzugriffsprotokollierung für einen Amazon S3 S3-Allzweck-Bucket aktiviert ist. Die Steuerung schlägt fehl, wenn die Serverzugriffsprotokollierung nicht aktiviert ist. Wenn die Protokollierung aktiviert ist, übermittelt Amazon S3 Zugriffsprotokolle für einen Quell-Bucket an einen ausgewählten Ziel-Bucket. Der Ziel-Bucket muss sich im selben AWS-Region wie der Quell-Bucket befinden und es darf kein standardmäßiger Aufbewahrungszeitraum konfiguriert sein. Für den Ziel-Logging-Bucket muss die Serverzugriffsprotokollierung nicht aktiviert sein, und Sie sollten die Ergebnisse für diesen Bucket unterdrücken. 

Die Serverzugriffsprotokollierung bietet detaillierte Aufzeichnungen der Anfragen, die an einen Bucket gestellt wurden. Serverzugriffsprotokolle können bei Sicherheits- und Zugriffsprüfungen hilfreich sein. Weitere Informationen finden Sie unter [Bewährte Sicherheitsmethoden für Amazon S3: Aktivieren Sie die Amazon S3 S3-Serverzugriffsprotokollierung](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html).

### Abhilfe
<a name="s3-9-remediation"></a>

Informationen zur Aktivierung der Amazon S3 S3-Serverzugriffsprotokollierung finden Sie unter [Aktivieren der Amazon S3 S3-Serverzugriffsprotokollierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html) im *Amazon S3 S3-Benutzerhandbuch*.

## [S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben
<a name="s3-10"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein versionsbasierter Amazon S3 S3-Bucket für allgemeine Zwecke über eine Lifecycle-Konfiguration verfügt. Die Kontrolle schlägt fehl, wenn der Bucket keine Lifecycle-Konfiguration hat.

Wir empfehlen, eine Lifecycle-Konfiguration für Ihren S3-Bucket zu erstellen, um Ihnen bei der Definition von Aktionen zu helfen, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll. 

### Abhilfe
<a name="s3-10-remediation"></a>

Weitere Informationen zur Konfiguration des Lebenszyklus in einem Amazon S3 S3-Bucket finden Sie unter [Lebenszykluskonfiguration für einen Bucket einrichten](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) und [Ihren Speicherlebenszyklus verwalten](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html).

## [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
<a name="s3-11"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (4), NIST.800-171.R2 3.3.8

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `eventTypes`  |  Liste der bevorzugten S3-Ereignistypen  |  EnumList (maximal 28 Artikel)  |  `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent`  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob S3-Ereignisbenachrichtigungen in einem Amazon S3 S3-Allzweck-Bucket aktiviert sind. Die Steuerung schlägt fehl, wenn S3-Ereignisbenachrichtigungen für den Bucket nicht aktiviert sind. Wenn Sie benutzerdefinierte Werte für den `eventTypes` Parameter angeben, wird die Steuerung nur erfolgreich ausgeführt, wenn Ereignisbenachrichtigungen für die angegebenen Ereignistypen aktiviert sind.

Wenn Sie S3-Ereignisbenachrichtigungen aktivieren, erhalten Sie Benachrichtigungen, wenn bestimmte Ereignisse eintreten, die sich auf Ihre S3-Buckets auswirken. Sie können beispielsweise über die Erstellung, Entfernung von Objekten und Wiederherstellung von Objekten informiert werden. Diese Benachrichtigungen können die zuständigen Teams vor versehentlichen oder vorsätzlichen Änderungen warnen, die zu unberechtigtem Datenzugriff führen können.

### Abhilfe
<a name="s3-11-remediation"></a>

Informationen zum Erkennen von Änderungen an S3-Buckets und Objekten finden Sie unter [Amazon S3 S3-Ereignisbenachrichtigungen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html) im *Amazon S3 S3-Benutzerhandbuch*.

## [S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden
<a name="s3-12"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob ein Amazon S3 S3-Allzweck-Bucket Benutzerberechtigungen mit einer Zugriffskontrollliste (ACL) bereitstellt. Die Kontrolle schlägt fehl, wenn eine ACL für die Verwaltung des Benutzerzugriffs auf den Bucket konfiguriert ist.

ACLs sind veraltete Zugriffskontrollmechanismen, die älter als IAM sind. Stattdessen empfehlen wir ACLs, S3-Bucket-Richtlinien oder AWS Identity and Access Management (IAM-) Richtlinien zu verwenden, um den Zugriff auf Ihre S3-Buckets zu verwalten.

### Abhilfe
<a name="s3-12-remediation"></a>

Um diese Kontrolle zu bestehen, sollten Sie sie ACLs für Ihre S3-Buckets deaktivieren. Anweisungen finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

Informationen zum Erstellen einer S3-Bucket-Richtlinie finden Sie unter [Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html). Informationen zum Erstellen einer IAM-Benutzerrichtlinie für einen S3-Bucket finden Sie unter [Steuern des Zugriffs auf einen Bucket mit Benutzerrichtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions).

## [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben
<a name="s3-13"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategorie**: Schützen > Datenschutz 

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `targetTransitionDays`  |  Anzahl der Tage nach der Objekterstellung, an denen Objekte in eine bestimmte Speicherklasse umgestellt wurden  |  Ganzzahl  |  `1` auf `36500`  |  Kein Standardwert  | 
|  `targetExpirationDays`  |  Anzahl der Tage nach der Objekterstellung, an denen Objekte gelöscht werden  |  Ganzzahl  |  `1` auf `36500`  |  Kein Standardwert  | 
|  `targetTransitionStorageClass`  |  Typ der S3-Speicherklasse des Ziels  |  Enum  |  `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE`  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon S3 S3-Allzweck-Bucket über eine Lifecycle-Konfiguration verfügt. Die Steuerung schlägt fehl, wenn der Bucket keine Lifecycle-Konfiguration hat. Wenn Sie benutzerdefinierte Werte für einen oder mehrere der oben genannten Parameter angeben, ist die Kontrolle nur erfolgreich, wenn die Richtlinie die angegebene Speicherklasse, Löschzeit oder Übergangszeit beinhaltet. 

Durch das Erstellen einer Lifecycle-Konfiguration für Ihren S3-Bucket werden Aktionen definiert, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll. Sie können beispielsweise Objekte in eine andere Speicherklasse übertragen, archivieren oder nach einem bestimmten Zeitraum löschen.

### Abhilfe
<a name="s3-13-remediation"></a>

Informationen zur Konfiguration von Lebenszyklusrichtlinien für einen Amazon S3 S3-Bucket finden Sie unter [Einstellung der Lebenszykluskonfiguration für einen Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) und unter [Verwaltung Ihres Speicherlebenszyklus](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) im *Amazon S3 S3-Benutzerhandbuch*.

## [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein
<a name="s3-14"></a>

**Kategorie:** Schützen > Datenschutz > Schutz vor Datenlöschung

**Verwandte Anforderungen:** NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5), NIST.800-171.R2 3.3.8

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für einen Amazon S3 S3-Allzweck-Bucket die Versionierung aktiviert ist. Die Kontrolle schlägt fehl, wenn die Versionierung für den Bucket ausgesetzt ist.

Bei der Versionierung werden mehrere Varianten eines Objekts im selben S3-Bucket aufbewahrt. Sie können die Versionierung verwenden, um frühere Versionen eines in Ihrem S3-Bucket gespeicherten Objekts beizubehalten, abzurufen und wiederherzustellen. Die Versionierung hilft Ihnen bei der Wiederherstellung sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern.

**Tipp**  
Wenn die Anzahl der Objekte in einem Bucket aufgrund der Versionierung zunimmt, können Sie eine Lifecycle-Konfiguration einrichten, um versionierte Objekte auf der Grundlage von Regeln automatisch zu archivieren oder zu löschen. Weitere Informationen finden Sie unter [Amazon S3 Lifecycle Management für versionierte Objekte](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/).

### Abhilfe
<a name="s3-14-remediation"></a>

Informationen zur Verwendung der Versionierung in einem S3-Bucket finden Sie unter [Aktivieren der Versionierung für Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) im *Amazon S3 S3-Benutzerhandbuch*.

## [S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein
<a name="s3-15"></a>

**Kategorie:** Schützen > Datenschutz > Schutz vor Datenlöschung

**Verwandte Anforderungen:** NIST.800-53.R5 CP-6 (2), PCI DSS v4.0.1/10.5.1

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `mode`  |  Aufbewahrungsmodus von S3 Object Lock  |  Enum  |  `GOVERNANCE`, `COMPLIANCE`  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob in einem Amazon S3 S3-Allzweck-Bucket Object Lock aktiviert ist. Die Steuerung schlägt fehl, wenn Object Lock für den Bucket nicht aktiviert ist. Wenn Sie einen benutzerdefinierten Wert für den `mode` Parameter angeben, wird die Steuerung nur erfolgreich ausgeführt, wenn S3 Object Lock den angegebenen Aufbewahrungsmodus verwendet.

Sie können S3 Object Lock verwenden, um Objekte mithilfe eines write-once-read-many (WORM-) Modells zu speichern. Object Lock kann verhindern, dass Objekte in S3-Buckets für einen bestimmten Zeitraum oder auf unbestimmte Zeit gelöscht oder überschrieben werden. Sie können die S3-Objektsperre verwenden, um regulatorische Anforderungen einzuhalten, die die WORM-Speicherung verlangen, oder um eine zusätzliche Schutzebene gegen Objektänderungen und -löschungen einzurichten.

### Abhilfe
<a name="s3-15-remediation"></a>

Informationen zur Konfiguration von Object Lock für neue und bestehende S3-Buckets finden Sie unter [Konfiguration von S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html) im *Amazon S3 S3-Benutzerhandbuch*. 

## [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys
<a name="s3-17"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Verwandte Anforderungen:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 NIST.800-53.r5 CA-9 (6), NIST.800-53.R5 AU-9, NIST.800-171.r2 3.8.9, NIST.800-171.r2 3.13.11, NIST.800-171.r2 3.13.16, PCI DSS v4.0.1/3.5.1

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob ein Amazon S3 S3-Allzweck-Bucket mit einem AWS KMS key (SSE-KMS oder DSSE-KMS) verschlüsselt ist. Die Steuerung schlägt fehl, wenn der Bucket mit der Standardverschlüsselung (SSE-S3) verschlüsselt ist.

Serverseitige Verschlüsselung (SSE) ist die Verschlüsselung von Daten am Zielort durch die Anwendung oder den Dienst, der sie empfängt. Sofern Sie nichts anderes angeben, verwenden S3-Buckets standardmäßig Amazon S3 S3-verwaltete Schlüssel (SSE-S3) für die serverseitige Verschlüsselung. Für zusätzliche Kontrolle können Sie Buckets jedoch so konfigurieren, dass sie stattdessen serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS oder DSSE-KMS) verwenden. Amazon S3 verschlüsselt Ihre Daten auf Objektebene, wenn es sie auf Festplatten in AWS Rechenzentren schreibt, und entschlüsselt sie für Sie, wenn Sie darauf zugreifen.

### Abhilfe
<a name="s3-17-remediation"></a>

*Informationen zum Verschlüsseln eines S3-Buckets mit SSE-KMS finden Sie unter [Serverseitige Verschlüsselung mit AWS KMS (SSE-KMS) angeben](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html) im Amazon S3 S3-Benutzerhandbuch.* *Informationen zum Verschlüsseln eines S3-Buckets mit DSSE-KMS finden Sie unter [Spezifizierung der dualen serverseitigen Verschlüsselung mit AWS KMS keys (DSSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html) im Amazon S3 S3-Benutzerhandbuch.*

## [S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein
<a name="s3-19"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Ressource nicht öffentlich zugänglich

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::S3::AccessPoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob für einen Amazon S3 S3-Zugriffspunkt die Einstellungen für den öffentlichen Zugriff blockiert aktiviert sind. Die Kontrolle schlägt fehl, wenn die Einstellungen zum Blockieren des öffentlichen Zugriffs für den Access Point nicht aktiviert sind.

Die Amazon S3 S3-Funktion Block Public Access hilft Ihnen, den Zugriff auf Ihre S3-Ressourcen auf drei Ebenen zu verwalten: Konto-, Bucket- und Access Point-Ebene. Die Einstellungen auf jeder Ebene können unabhängig voneinander konfiguriert werden, sodass Sie unterschiedliche Stufen der öffentlichen Zugriffsbeschränkungen für Ihre Daten festlegen können. Die Einstellungen des Access Points können die restriktiveren Einstellungen auf höheren Ebenen (Kontoebene oder dem Access Point zugewiesener Bucket) nicht einzeln außer Kraft setzen. Stattdessen sind die Einstellungen auf der Zugriffspunktebene additiv, was bedeutet, dass sie die Einstellungen auf den anderen Ebenen ergänzen und mit ihnen zusammenarbeiten. Sofern Sie nicht beabsichtigen, dass ein S3-Zugriffspunkt öffentlich zugänglich ist, sollten Sie die Einstellungen zum Blockieren des öffentlichen Zugriffs aktivieren.

### Abhilfe
<a name="s3-19-remediation"></a>

Amazon S3 unterstützt derzeit nicht das Ändern der Public Block Access-Einstellungen eines Zugriffspunkts, nachdem der Zugriffspunkt erstellt wurde. Alle Einstellungen zum Blockieren des öffentlichen Zugriffs sind standardmäßig aktiviert, wenn Sie einen neuen Access Point erstellen. Wir empfehlen, alle Einstellungen aktiviert zu lassen, es sei denn, Sie wissen, dass Sie eine bestimmte Einstellung deaktivieren müssen. Weitere Informationen finden Sie unter [Verwaltung des öffentlichen Zugriffs auf Access Points](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

## [S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein
<a name="s3-20"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/2.1.2, CIS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, (1), (2) AWS NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Kategorie**: Schützen > Datenschutz > Schutz vor Datenlöschung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::S3::Bucket`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob das Löschen mit Multi-Faktor-Authentifizierung (MFA) für einen Amazon S3 S3-Allzweck-Bucket aktiviert ist. Die Steuerung schlägt fehl, wenn MFA Delete für den Bucket nicht aktiviert ist. Das Steuerelement liefert keine Ergebnisse für Buckets mit einer Lebenszykluskonfiguration.

Wenn Sie die Versionierung für einen S3-Allzweck-Bucket aktivieren, können Sie optional eine weitere Sicherheitsebene hinzufügen, indem Sie MFA Delete für den Bucket konfigurieren. In diesem Fall muss der Bucket-Besitzer in jeder Anfrage zwei Arten der Authentifizierung angeben, um eine Version eines Objekts im Bucket zu löschen oder den Versionsstatus des Buckets zu ändern. MFA Delete bietet zusätzliche Sicherheit, wenn beispielsweise die Sicherheitsanmeldedaten des Bucket-Besitzers kompromittiert wurden. Das Löschen mit MFA kann auch dazu beitragen, versehentliches Löschen von Buckets zu verhindern, indem der Benutzer, der die Löschaktion initiiert, den physischen Besitz eines MFA-Geräts mit einem MFA-Code nachweisen muss, wodurch die Löschaktion noch reibungsloser und sicherer wird.

**Anmerkung**  
Dieses Steuerelement erzeugt nur dann ein `PASSED` Ergebnis, wenn MFA Delete für den S3-Allzweck-Bucket aktiviert ist. Um MFA Delete für einen Bucket zu aktivieren, muss die Versionierung auch für den Bucket aktiviert sein. Die Bucket-Versionierung ist eine Methode zum Speichern mehrerer Varianten eines S3-Objekts im selben Bucket. Darüber hinaus kann nur der Bucket-Besitzer, der als Root-Benutzer angemeldet ist, das Löschen von MFA aktivieren und Löschaktionen für den Bucket ausführen. Sie können MFA Delete nicht mit einem Bucket verwenden, der über eine Lebenszykluskonfiguration verfügt.

### Abhilfe
<a name="s3-20-remediation"></a>

Informationen zur Aktivierung der Versionierung und zur Konfiguration von MFA Delete für einen S3-Bucket finden Sie unter [MFA-Löschen konfigurieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

## [S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren
<a name="s3-22"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/3.8, CIS Foundations Benchmark v3.0.0/3.8, PCI DSS v4.0.1/10.2.1 AWS 

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein AWS-Konto über mindestens einen AWS CloudTrail Multiregions-Trail verfügt, der alle Schreibdatenereignisse für Amazon S3 S3-Buckets protokolliert. Die Kontrolle schlägt fehl, wenn das Konto nicht über einen Multi-Regions-Trail verfügt, der Schreibdatenereignisse für S3-Buckets protokolliert.

S3-Operationen auf Objektebene, wie, und `GetObject` `DeleteObject``PutObject`, werden als Datenereignisse bezeichnet. Standardmäßig protokolliert CloudTrail es keine Datenereignisse, aber Sie können Trails konfigurieren, um Datenereignisse für S3-Buckets zu protokollieren. Wenn Sie die Protokollierung auf Objektebene für Schreibdatenereignisse aktivieren, können Sie jeden einzelnen Objekt- (Datei-) Zugriff innerhalb eines S3-Buckets protokollieren. Durch die Aktivierung der Protokollierung auf Objektebene können Sie mithilfe von Amazon Events Datenkonformitätsanforderungen erfüllen, umfassende Sicherheitsanalysen durchführen AWS-Konto, bestimmte Muster des Benutzerverhaltens in Ihrem System überwachen und Maßnahmen gegen API-Aktivitäten auf Objektebene innerhalb Ihrer S3-Buckets ergreifen. CloudWatch Diese Steuerung führt `PASSED` zu einem Ergebnis, wenn Sie einen Trail mit mehreren Regionen konfigurieren, der nur Schreibvorgänge oder alle Arten von Datenereignissen für alle S3-Buckets protokolliert.

### Abhilfe
<a name="s3-22-remediation"></a>

Informationen zum Aktivieren der Protokollierung auf Objektebene für S3-Buckets finden Sie unter [Aktivieren der CloudTrail Ereignisprotokollierung für S3-Buckets und Objekte](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

## [S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren
<a name="s3-23"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/3.9, CIS Foundations Benchmark v3.0.0/3.9, PCI DSS v4.0.1/10.2.1 AWS 

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein AWS-Konto über mindestens einen AWS CloudTrail Multiregions-Trail verfügt, der alle Lesedatenereignisse für Amazon S3 S3-Buckets protokolliert. Die Kontrolle schlägt fehl, wenn das Konto nicht über einen Multi-Regions-Trail verfügt, der Lesedatenereignisse für S3-Buckets protokolliert.

S3-Operationen auf Objektebene, wie, und `GetObject` `DeleteObject``PutObject`, werden als Datenereignisse bezeichnet. Standardmäßig protokolliert CloudTrail es keine Datenereignisse, aber Sie können Trails konfigurieren, um Datenereignisse für S3-Buckets zu protokollieren. Wenn Sie die Protokollierung auf Objektebene für Lesedatenereignisse aktivieren, können Sie jeden einzelnen Objekt- (Datei-) Zugriff innerhalb eines S3-Buckets protokollieren. Durch die Aktivierung der Protokollierung auf Objektebene können Sie mithilfe von Amazon Events Datenkonformitätsanforderungen erfüllen, umfassende Sicherheitsanalysen durchführen AWS-Konto, bestimmte Muster des Benutzerverhaltens in Ihrem System überwachen und Maßnahmen gegen API-Aktivitäten auf Objektebene innerhalb Ihrer S3-Buckets ergreifen. CloudWatch Diese Steuerung führt `PASSED` zu einem Ergebnis, wenn Sie einen Trail mit mehreren Regionen konfigurieren, der schreibgeschützte oder alle Arten von Datenereignissen für alle S3-Buckets protokolliert.

### Abhilfe
<a name="s3-23-remediation"></a>

Informationen zum Aktivieren der Protokollierung auf Objektebene für S3-Buckets finden Sie unter [Aktivieren der CloudTrail Ereignisprotokollierung für S3-Buckets und Objekte](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

## [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein
<a name="s3-24"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/1.4.4

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::S3::MultiRegionAccessPoint`

**AWS Config Regel:** `s3-mrap-public-access-blocked` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob für einen Amazon S3 Multiregion Access Point die Einstellungen für den öffentlichen Zugriff blockiert aktiviert sind. Die Kontrolle schlägt fehl, wenn für den Multi-Region Access Point die Einstellungen zum Sperren des öffentlichen Zugriffs nicht aktiviert sind.

Öffentlich zugängliche Ressourcen können zu unberechtigtem Zugriff, Datenschutzverletzungen oder der Ausnutzung von Sicherheitslücken führen. Die Einschränkung des Zugriffs durch Authentifizierungs- und Autorisierungsmaßnahmen trägt dazu bei, vertrauliche Informationen zu schützen und die Integrität Ihrer Ressourcen zu wahren.

### Abhilfe
<a name="s3-24-remediation"></a>

Standardmäßig sind alle Einstellungen für den Block Public Access für einen S3-Access Point mit mehreren Regionen aktiviert. Weitere Informationen finden Sie unter [Blockieren des öffentlichen Zugriffs mit Amazon S3 Multi-Region Access Points](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. Nach dem Erstellen eines Multi-Region Access Point können Sie die Block-Public-Access-Einstellungen für den Access Point nicht mehr ändern.

## [S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
<a name="s3-25"></a>

**Kategorie: Schützen >** Datenschutz

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::S3Express::DirectoryBucket`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `targetExpirationDays`  |  Die Anzahl der Tage nach der Objekterstellung, an denen Objekte ablaufen sollen.  |  Ganzzahl  |  `1` auf `2147483647`  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob Lebenszyklusregeln für einen S3-Verzeichnis-Bucket konfiguriert sind. Die Steuerung schlägt fehl, wenn keine Lebenszyklusregeln für den Directory-Bucket konfiguriert sind oder eine Lebenszyklusregel für den Bucket Ablaufeinstellungen festlegt, die nicht mit dem Parameterwert übereinstimmen, den Sie optional angeben.

In Amazon S3 besteht eine Lebenszykluskonfiguration aus einer Reihe von Regeln, die Aktionen definieren, die Amazon S3 auf eine Gruppe von Objekten in einem Bucket anwenden soll. Für einen S3-Verzeichnis-Bucket können Sie eine Lebenszyklusregel erstellen, die je nach Alter (in Tagen) festlegt, wann Objekte ablaufen. Sie können auch eine Lebenszyklusregel erstellen, die unvollständige mehrteilige Uploads löscht. Im Gegensatz zu anderen Arten von S3-Buckets, wie z. B. Allzweck-Buckets, unterstützen Directory-Buckets keine anderen Arten von Aktionen für Lebenszyklusregeln, wie z. B. den Übergang von Objekten zwischen Speicherklassen.

### Abhilfe
<a name="s3-25-remediation"></a>

Um eine Lebenszykluskonfiguration für einen S3-Verzeichnis-Bucket zu definieren, erstellen Sie eine Lebenszyklusregel für den Bucket. Weitere Informationen finden Sie unter [Erstellen und Verwalten einer Lebenszykluskonfiguration für Ihren Directory-Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für KI SageMaker
<a name="sagemaker-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Amazon SageMaker AI-Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
<a name="sagemaker-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::SageMaker::NotebookInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob der direkte Internetzugang für eine SageMaker KI-Notebook-Instanz deaktiviert ist. Die Steuerung schlägt fehl, wenn das `DirectInternetAccess` Feld für die Notebook-Instanz aktiviert ist. 

Wenn Sie Ihre SageMaker AI-Instance ohne VPC konfigurieren, ist der direkte Internetzugang auf Ihrer Instance standardmäßig aktiviert. Sie sollten Ihre Instance mit einer VPC konfigurieren und die Standardeinstellung auf **Deaktivieren — Zugriff auf das Internet** über eine VPC ändern. Um Modelle von einem Notebook aus zu trainieren oder zu hosten, benötigen Sie Internetzugang. Um den Internetzugang zu aktivieren, muss Ihre VPC entweder über einen Schnittstellenendpunkt (AWS PrivateLink) oder ein NAT-Gateway und eine Sicherheitsgruppe verfügen, die ausgehende Verbindungen zulässt. Weitere Informationen darüber, wie Sie eine Notebook-Instance Connect Ressourcen in einer VPC verbinden, finden Sie unter [Verbinden einer Notebook-Instance mit Ressourcen in einer VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) im *Amazon SageMaker AI Developer Guide*. Sie sollten auch sicherstellen, dass der Zugriff auf Ihre SageMaker KI-Konfiguration nur auf autorisierte Benutzer beschränkt ist. Schränken Sie IAM-Berechtigungen ein, die es Benutzern ermöglichen, SageMaker KI-Einstellungen und -Ressourcen zu ändern.

### Abhilfe
<a name="sagemaker-1-remediation"></a>

Sie können die Internetzugriffseinstellungen nicht ändern, nachdem Sie eine Notebook-Instanz erstellt haben. Stattdessen können Sie die Instanz mit blockiertem Internetzugang beenden, löschen und neu erstellen. Informationen zum Löschen einer Notebook-Instance, die direkten Internetzugang ermöglicht, finden Sie unter [Verwenden von Notebook-Instances zum Erstellen von Modellen: Aufräumen](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) im *Amazon SageMaker AI Developer Guide*. Informationen zum Neuerstellen einer Notebook-Instance, die den Internetzugang verweigert, finden Sie unter [Notebook-Instance erstellen](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html). Wählen Sie für **Netzwerk, Direkter Internetzugang** die Option **Deaktivieren — Zugriff auf das Internet über** eine VPC.

## [SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
<a name="sagemaker-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen in VPC

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::SageMaker::NotebookInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob eine Amazon SageMaker AI-Notebook-Instance in einer benutzerdefinierten Virtual Private Cloud (VPC) gestartet wird. Diese Steuerung schlägt fehl, wenn eine SageMaker KI-Notebook-Instance nicht in einer benutzerdefinierten VPC oder in der SageMaker AI-Service-VPC gestartet wird.

Subnetze sind ein Bereich von IP-Adressen innerhalb einer VPC. Wir empfehlen, Ihre Ressourcen wann immer möglich in einer benutzerdefinierten VPC aufzubewahren, um einen sicheren Netzwerkschutz Ihrer Infrastruktur zu gewährleisten. Eine Amazon VPC ist ein virtuelles Netzwerk, das Ihrem AWS-Konto gewidmet ist. Mit einer Amazon VPC können Sie den Netzwerkzugriff und die Internetverbindung Ihrer SageMaker AI Studio- und Notebook-Instances steuern.

### Abhilfe
<a name="sagemaker-2-remediation"></a>

Sie können die VPC-Einstellung nicht ändern, nachdem Sie eine Notebook-Instanz erstellt haben. Stattdessen können Sie die Instanz beenden, löschen und neu erstellen. Anweisungen finden Sie unter [Verwenden von Notebook-Instances zum Erstellen von Modellen: Aufräumen](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) im *Amazon SageMaker AI Developer Guide*.

## [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
<a name="sagemaker-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Zugriffsbeschränkungen für Root-Benutzer

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::SageMaker::NotebookInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob der Root-Zugriff für eine Amazon SageMaker AI-Notebook-Instance aktiviert ist. Die Steuerung schlägt fehl, wenn der Root-Zugriff für eine SageMaker AI-Notebook-Instance aktiviert ist.

Unter Einhaltung des Prinzips der geringsten Rechte wird empfohlen, den Root-Zugriff auf Instanzressourcen zu beschränken, um eine unbeabsichtigte Überzuweisung von Zugriffsberechtigungen zu vermeiden.

### Abhilfe
<a name="sagemaker-3-remediation"></a>

Informationen zum Einschränken des Root-Zugriffs auf SageMaker KI-Notebook-Instances finden Sie unter [Steuern des Root-Zugriffs auf eine SageMaker KI-Notebook-Instance](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) im *Amazon SageMaker AI Developer Guide*.

## [SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein
<a name="sagemaker-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, 3 NIST.800-53.r5 SA-1

**Kategorie:** Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SageMaker::EndpointConfig`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Diese Kontrolle prüft, ob Produktionsvarianten eines Amazon SageMaker AI-Endpunkts eine anfängliche Instanzzahl von mehr als 1 aufweisen. Die Kontrolle schlägt fehl, wenn die Produktionsvarianten des Endpunkts nur eine erste Instanz haben.

Produktionsvarianten, die mit einer Instanzzahl von mehr als 1 ausgeführt werden, ermöglichen Multi-AZ-Instance-Redundanz, die von KI verwaltet wirdSageMaker . Die Bereitstellung von Ressourcen in mehreren Availability Zones ist eine AWS bewährte Methode, um eine hohe Verfügbarkeit innerhalb Ihrer Architektur zu gewährleisten. Hochverfügbarkeit hilft Ihnen, sich nach Sicherheitsvorfällen zu erholen.

**Anmerkung**  
Diese Steuerung gilt nur für die instanzbasierte Endpunktkonfiguration.

### Abhilfe
<a name="sagemaker-4-remediation"></a>

Weitere Informationen zu den Parametern der Endpunktkonfiguration finden Sie unter [Erstellen einer Endpunktkonfiguration](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) im *Amazon SageMaker AI Developer Guide*.

## [SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
<a name="sagemaker-5"></a>

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SageMaker::Model`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob bei einem von Amazon SageMaker AI gehosteten Modell die Netzwerkisolierung aktiviert ist. Die Steuerung schlägt fehl, wenn der `EnableNetworkIsolation` Parameter für das gehostete Modell auf gesetzt ist`False`.

SageMaker KI-Training und bereitgestellte Inferenzcontainer sind standardmäßig internetfähig. Wenn Sie nicht möchten, dass SageMaker KI externen Netzwerkzugriff auf Ihre Trainings- oder Inferenzcontainer gewährt, können Sie die Netzwerkisolierung aktivieren. Wenn Sie die Netzwerkisolierung aktivieren, können keine eingehenden oder ausgehenden Netzwerkanrufe an oder von dem Modellcontainer getätigt werden, auch keine Aufrufe an oder von anderen. AWS-Services Darüber hinaus werden der Container-Laufzeitumgebung keine AWS Anmeldeinformationen zur Verfügung gestellt. Durch die Aktivierung der Netzwerkisolierung wird ein unbeabsichtigter Zugriff auf Ihre SageMaker KI-Ressourcen aus dem Internet verhindert.

**Anmerkung**  
Am 13. August 2025 änderte Security Hub CSPM den Titel und die Beschreibung dieses Steuerelements. Der neue Titel und die neue Beschreibung geben genauer wieder, dass das Steuerelement die Einstellung für den `EnableNetworkIsolation` Parameter der von Amazon SageMaker AI gehosteten Modelle überprüft. Zuvor lautete der Titel dieses Steuerelements: *SageMaker models should block inbound traffic*.

### Abhilfe
<a name="sagemaker-5-remediation"></a>

Weitere Informationen zur Netzwerkisolierung für SageMaker KI-Modelle finden Sie unter [Ausführen von Trainings- und Inferenzcontainern im internetfreien Modus](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) im *Amazon SageMaker AI Developer Guide*. Wenn Sie ein Modell erstellen, können Sie die Netzwerkisolierung aktivieren, indem Sie den Wert für den `EnableNetworkIsolation` Parameter auf setzen. `True`

## [SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
<a name="sagemaker-6"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::SageMaker::AppImageConfig`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob eine Amazon SageMaker AI-App-Image-Konfiguration (`AppImageConfig`) die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel enthält. Die Steuerung schlägt fehl, wenn die Konfiguration des App-Images keine Tag-Schlüssel oder nicht alle durch den `requiredKeyTags` Parameter angegebenen Schlüssel enthält. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die App-Image-Konfiguration keine Tag-Schlüssel enthält. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="sagemaker-6-remediation"></a>

Um einer Amazon SageMaker AI-App-Image-Konfiguration (`AppImageConfig`) Tags hinzuzufügen, können Sie den [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)Betrieb der SageMaker AI-API verwenden oder, falls Sie die verwenden AWS CLI, den Befehl [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html) ausführen.

## [SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
<a name="sagemaker-7"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::SageMaker::Image`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob ein Amazon SageMaker AI-Image die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel hat. Die Steuerung schlägt fehl, wenn das Bild keine Tag-Schlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Bild keine Tag-Schlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="sagemaker-7-remediation"></a>

Um einem Amazon SageMaker AI-Image Tags hinzuzufügen, können Sie den [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)Betrieb der SageMaker KI-API verwenden oder, falls Sie die verwenden AWS CLI, den Befehl [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html) ausführen.

## [SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen
<a name="sagemaker-8"></a>

**Kategorie:** Erkennen > Schwachstellen-, Patch- und Versionsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SageMaker::NotebookInstance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)

**Art des Zeitplans:** Periodisch

**Parameter:**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (nicht anpassbar)

Dieses Steuerelement prüft anhand der für die Notebook-Instance angegebenen Plattform-ID, ob eine Amazon SageMaker AI-Notebook-Instance für die Ausführung auf einer unterstützten Plattform konfiguriert ist. Die Steuerung schlägt fehl, wenn die Notebook-Instance für die Ausführung auf einer Plattform konfiguriert ist, die nicht mehr unterstützt wird.

Wenn die Plattform für eine Amazon SageMaker AI-Notebook-Instance nicht mehr unterstützt wird, erhält sie möglicherweise keine Sicherheitspatches, Bugfixes oder andere Arten von Updates. Notebook-Instances funktionieren möglicherweise weiterhin, erhalten jedoch keine SageMaker KI-Sicherheitsupdates oder kritische Bugfixes. Sie übernehmen die Risiken, die mit der Verwendung einer nicht unterstützten Plattform verbunden sind. Weitere Informationen finden Sie unter [JupyterLabVersionierung](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) im *Amazon SageMaker AI Developer Guide*.

### Abhilfe
<a name="sagemaker-8-remediation"></a>

Informationen zu den Plattformen, die Amazon SageMaker AI derzeit unterstützt, und zur Migration zu diesen Plattformen finden Sie unter [Amazon Linux 2-Notebook-Instances](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) im *Amazon SageMaker AI Developer Guide*.

## [SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein
<a name="sagemaker-9"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SageMaker::DataQualityJobDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob für eine Amazon SageMaker AI-Auftragsdefinition zur Datenqualität die Verschlüsselung für den Verkehr zwischen Containern aktiviert ist. Die Kontrolle schlägt fehl, wenn in der Definition für einen Job, der Datenqualität und Datendrift überwacht, die Verschlüsselung für den Verkehr zwischen Containern nicht aktiviert ist.

Durch die Aktivierung der Verschlüsselung des Datenverkehrs zwischen Containern werden sensible ML-Daten während der verteilten Verarbeitung zur Datenqualitätsanalyse geschützt. 

### Abhilfe
<a name="sagemaker-9-remediation"></a>

Weitere Informationen zur Verschlüsselung des Datenverkehrs zwischen Containern für Amazon SageMaker AI finden Sie unter [Schützen der Kommunikation zwischen ML-Compute-Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) im *Amazon SageMaker AI Developer Guide*. Wenn Sie eine Auftragsdefinition für die Datenqualität erstellen, können Sie die Verschlüsselung des Datenverkehrs zwischen Containern aktivieren, indem Sie den Wert für den `EnableInterContainerTrafficEncryption` Parameter auf festlegen. `True`

## [SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein
<a name="sagemaker-10"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SageMaker::ModelExplainabilityJobDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob in einer Auftragsdefinition für Erklärbarkeit im SageMaker Amazon-Modell die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert ist. Die Kontrolle schlägt fehl, wenn in der Auftragsdefinition für die Erklärung des Modells die Verschlüsselung des Datenverkehrs zwischen Containern nicht aktiviert ist.

Durch die Aktivierung der Verschlüsselung des Datenverkehrs zwischen Containern werden sensible ML-Daten wie Modelldaten, Trainingsdatensätze, Zwischenverarbeitungsergebnisse, Parameter und Modellgewichte während der verteilten Verarbeitung zur Erklärbarkeitsanalyse geschützt. 

### Abhilfe
<a name="sagemaker-10-remediation"></a>

Bei einer bestehenden Aufgabendefinition zur Erläuterung von SageMaker Modellen kann die Verschlüsselung des Datenverkehrs zwischen Containern nicht an Ort und Stelle aktualisiert werden. Verwenden Sie [API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) oder [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) oder und stellen Sie auf ein, um eine neue Jobdefinition zur Erläuterung des SageMaker Modells mit aktivierter Verschlüsselung für den Containerverkehr zu erstellen. [ CloudFormation[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)`True`

## [SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein
<a name="sagemaker-11"></a>

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SageMaker::DataQualityJobDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für eine Auftragsdefinition zur Überwachung der Datenqualität von Amazon SageMaker AI die Netzwerkisolierung aktiviert ist. Die Steuerung schlägt fehl, wenn in der Definition für einen Job, der Datenqualität und -drift überwacht, die Netzwerkisolierung deaktiviert ist.

Netzwerkisolierung reduziert die Angriffsfläche und verhindert externen Zugriff, wodurch vor unbefugtem Zugriff von außen, versehentlicher Datenoffenlegung und potenzieller Datenexfiltration geschützt wird. 

### Abhilfe
<a name="sagemaker-11-remediation"></a>

Weitere Informationen zur Netzwerkisolierung für SageMaker KI finden Sie unter [Ausführen von Trainings- und Inferenzcontainern im internetfreien Modus](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) im *Amazon SageMaker AI Developer Guide*. Wenn Sie eine Auftragsdefinition für Datenqualität erstellen, können Sie die Netzwerkisolierung aktivieren, indem Sie den Wert für den `EnableNetworkIsolation` Parameter auf setzen. `True`

## [SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein
<a name="sagemaker-12"></a>

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Konfiguration der Ressourcenrichtlinie

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SageMaker::ModelBiasJobDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob bei einer Jobdefinition mit SageMaker Modellverzerrung die Netzwerkisolierung aktiviert ist. Die Steuerung schlägt fehl, wenn bei der Jobdefinition für Modellverzerrungen die Netzwerkisolierung nicht aktiviert ist.

Die Netzwerkisolierung verhindert, dass SageMaker Model-Bass-Jobs über das Internet mit externen Ressourcen kommunizieren. Durch die Aktivierung der Netzwerkisolierung stellen Sie sicher, dass die Container des Auftrags keine ausgehenden Verbindungen herstellen können. Dadurch wird die Angriffsfläche reduziert und sensible Daten werden vor dem Eindringen geschützt. Dies ist besonders wichtig für Jobs, die regulierte oder sensible Daten verarbeiten.

### Abhilfe
<a name="sagemaker-12-remediation"></a>

Um die Netzwerkisolierung zu aktivieren, müssen Sie eine neue Model Bias-Jobdefinition erstellen, bei der der `EnableNetworkIsolation` Parameter auf gesetzt ist`True`. Die Netzwerkisolierung kann nach der Erstellung der Auftragsdefinition nicht geändert werden. Informationen zur Erstellung einer neuen Model Bias-Jobdefinition finden Sie [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)im *Amazon SageMaker AI Developer Guide*. 

## [SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein
<a name="sagemaker-13"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SageMaker::ModelQualityJobDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob bei Auftragsdefinitionen von Amazon SageMaker Model Quality die Verschlüsselung während der Übertragung für den Verkehr zwischen Containern aktiviert ist. Die Kontrolle schlägt fehl, wenn in einer Auftragsdefinition in Modellqualität die Verschlüsselung des Datenverkehrs zwischen Containern nicht aktiviert ist.

Die Verschlüsselung des Datenverkehrs zwischen Containern schützt Daten, die während verteilter Aufgaben zur Überwachung der Modellqualität zwischen Containern übertragen werden. Standardmäßig ist der Verkehr zwischen Containern unverschlüsselt. Die Aktivierung der Verschlüsselung trägt zur Wahrung der Datenvertraulichkeit bei der Verarbeitung bei und unterstützt die Einhaltung der gesetzlichen Anforderungen für den Schutz von Daten bei der Übertragung.

### Abhilfe
<a name="sagemaker-13-remediation"></a>

Um die Verschlüsselung des intercontainerübergreifenden Datenverkehrs für Ihre Auftragsdefinition in SageMaker Amazon-Modellqualität zu aktivieren, müssen Sie die Auftragsdefinition mit der entsprechenden Verschlüsselungskonfiguration während der Übertragung neu erstellen. Informationen zur Erstellung einer Jobdefinition in Modellqualität finden Sie [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)im *Amazon SageMaker AI Developer Guide*. 

## [SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
<a name="sagemaker-14"></a>

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SageMaker::MonitoringSchedule`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob die Netzwerkisolierung in den SageMaker Amazon-Überwachungsplänen aktiviert ist. Die Steuerung schlägt fehl, wenn ein Überwachungsplan auf „Falsch“ EnableNetworkIsolation gesetzt oder nicht konfiguriert wurde

Die Netzwerkisolierung verhindert, dass Überwachungsaufträge ausgehende Netzwerkanrufe tätigen, wodurch die Angriffsfläche reduziert wird, da der Internetzugang aus Containern ausgeschlossen wird.

### Abhilfe
<a name="sagemaker-14-remediation"></a>

Informationen zur Konfiguration der Netzwerkisolierung im NetworkConfig Parameter bei der Erstellung oder Aktualisierung eines Überwachungsplans finden Sie unter [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)oder [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)im *Amazon SageMaker AI Developer Guide*.

## [SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein
<a name="sagemaker-15"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SageMaker::ModelBiasJobDefinition`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob bei Auftragsdefinitionen mit Amazon SageMaker Model Bias die Verschlüsselung des intercontainerübergreifenden Datenverkehrs aktiviert ist, wenn mehrere Compute-Instances verwendet werden. Die Steuerung schlägt fehl, wenn sie `EnableInterContainerTrafficEncryption` auf „Falsch“ gesetzt oder nicht für Jobdefinitionen mit einer Instance-Anzahl von 2 oder mehr konfiguriert ist.

EInter-Die Verschlüsselung des Container-Datenverkehrs schützt Daten, die zwischen Recheninstanzen während der Überwachung verteilter Modellfehler übertragen werden. Die Verschlüsselung verhindert den unbefugten Zugriff auf modellbezogene Informationen wie Gewichte, die zwischen Instanzen übertragen werden.

### Abhilfe
<a name="sagemaker-15-remediation"></a>

Um die Verschlüsselung des Datenverkehrs zwischen Containern für SageMaker Model-Basis-Jobdefinitionen zu aktivieren, setzen Sie den `EnableInterContainerTrafficEncryption` Parameter auf, `True` wenn die Auftragsdefinition mehrere Recheninstanzen verwendet. Informationen zum Schutz der Kommunikation zwischen ML-Compute-Instances finden Sie unter [Schützen der Kommunikation zwischen ML-Compute-Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) im *Amazon SageMaker AI Developer Guide*. 

# Security Hub CSPM-Steuerelemente für Secrets Manager
<a name="secretsmanager-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS Secrets Manager Service und die Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein
<a name="secretsmanager-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Kategorie:** Schutz > Sichere Entwicklung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SecretsManager::Secret`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `maximumAllowedRotationFrequency`  |  Höchstzulässige Anzahl von Tagen für die geheime Rotationsfrequenz  |  Ganzzahl  |  `1` auf `365`  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein in gespeichertes Geheimnis mit automatischer Rotation konfiguriert AWS Secrets Manager ist. Die Steuerung schlägt fehl, wenn das Geheimnis nicht mit automatischer Rotation konfiguriert ist. Wenn Sie einen benutzerdefinierten Wert für den `maximumAllowedRotationFrequency` Parameter angeben, ist die Kontrolle nur erfolgreich, wenn das Geheimnis innerhalb des angegebenen Zeitfensters automatisch rotiert wird.

Secrets Manager hilft Ihnen, die Sicherheitslage Ihres Unternehmens zu verbessern. Zu den Geheimnissen gehören Datenbankanmeldedaten, Passwörter und API-Schlüssel von Drittanbietern. Sie können Secrets Manager verwenden, um Secrets zentral zu speichern, Secrets automatisch zu verschlüsseln, den Zugriff auf Secrets zu kontrollieren und Secrets sicher und automatisch zu rotieren.

Secrets Manager kann Secrets rotieren. Sie können die Rotation verwenden, um langfristige Geheimnisse durch kurzfristige zu ersetzen. Durch die Rotation Ihrer Geheimnisse wird begrenzt, wie lange ein nicht autorisierter Benutzer ein kompromittiertes Geheimnis verwenden kann. Aus diesem Grund sollten Sie Ihre Geheimnisse häufig wechseln. Weitere Informationen zur Rotation findest du unter [Rotation deiner AWS Secrets Manager Geheimnisse](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) im *AWS Secrets Manager Benutzerhandbuch*.

### Abhilfe
<a name="secretsmanager-1-remediation"></a>

Informationen zum Aktivieren der automatischen Rotation für Secrets Manager-Secrets finden Sie unter [Automatische Rotation für AWS Secrets Manager Secrets mithilfe der Konsole einrichten](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) im *AWS Secrets Manager Benutzerhandbuch*. Sie müssen eine AWS Lambda Funktion für die Rotation auswählen und konfigurieren.

## [SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren
<a name="secretsmanager-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Kategorie:** Schutz > Sichere Entwicklung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SecretsManager::Secret`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft auf der Grundlage des Rotationsplans, ob ein AWS Secrets Manager Secret erfolgreich rotiert wurde. Wenn `RotationOccurringAsScheduled` ja, schlägt die Steuerung fehl`false`. Das Steuerelement wertet nur Geheimnisse aus, für die die Rotation aktiviert ist.

Secrets Manager hilft Ihnen, die Sicherheitslage Ihres Unternehmens zu verbessern. Zu den Geheimnissen gehören Datenbankanmeldedaten, Passwörter und API-Schlüssel von Drittanbietern. Sie können Secrets Manager verwenden, um Secrets zentral zu speichern, Secrets automatisch zu verschlüsseln, den Zugriff auf Secrets zu kontrollieren und Secrets sicher und automatisch zu rotieren.

Secrets Manager kann Secrets rotieren. Sie können die Rotation verwenden, um langfristige Geheimnisse durch kurzfristige zu ersetzen. Durch die Rotation Ihrer Geheimnisse wird begrenzt, wie lange ein nicht autorisierter Benutzer ein kompromittiertes Geheimnis verwenden kann. Aus diesem Grund sollten Sie Ihre Geheimnisse häufig wechseln.

Zusätzlich zur Konfiguration der automatischen Rotation sollten Sie sicherstellen, dass diese Secrets gemäß dem Rotationsplan erfolgreich rotiert werden.

Weitere Informationen zur Rotation finden Sie unter [Rotation Ihrer AWS Secrets Manager Geheimnisse](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) im *AWS Secrets Manager Benutzerhandbuch*.

### Abhilfe
<a name="secretsmanager-2-remediation"></a>

Wenn die automatische Rotation fehlschlägt, sind bei Secrets Manager möglicherweise Fehler bei der Konfiguration aufgetreten. Um Secrets in Secrets Manager zu rotieren, verwenden Sie eine Lambda-Funktion, die definiert, wie mit der Datenbank oder dem Dienst, dem das Geheimnis gehört, interagiert werden soll.

Hilfe zur Diagnose und Behebung häufiger Fehler im Zusammenhang mit der Rotation von Geheimnissen finden Sie unter [Fehlerbehebung bei der AWS Secrets Manager Rotation von Geheimnissen](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) im *AWS Secrets Manager Benutzerhandbuch*.

## [SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen
<a name="secretsmanager-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SecretsManager::Secret`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `unusedForDays`  |  Maximale Anzahl von Tagen, an denen ein Geheimnis ungenutzt bleiben kann  |  Ganzzahl  |  `1` auf `365`  |  `90`  | 

Dieses Steuerelement prüft, ob innerhalb des angegebenen Zeitraums auf ein AWS Secrets Manager Geheimnis zugegriffen wurde. Die Kontrolle schlägt fehl, wenn ein Geheimnis über den angegebenen Zeitraum hinaus nicht verwendet wird. Sofern Sie keinen benutzerdefinierten Parameterwert für den Zugriffszeitraum angeben, verwendet Security Hub CSPM einen Standardwert von 90 Tagen.

Das Löschen ungenutzter Geheimnisse ist genauso wichtig wie das Rotieren von Geheimnissen. Ungenutzte Geheimnisse können von ihren früheren Benutzern missbraucht werden, die keinen Zugriff mehr auf diese Geheimnisse benötigen. Wenn immer mehr Benutzer Zugriff auf ein Geheimnis erhalten, könnte es außerdem sein, dass jemand es falsch behandelt und an eine nicht autorisierte Stelle weitergegeben hat, was das Missbrauchsrisiko erhöht. Das Löschen ungenutzter Geheimnisse hilft dabei, Benutzern, die ihn nicht mehr benötigen, den geheimen Zugriff zu entziehen. Es hilft auch, die Kosten für die Verwendung von Secrets Manager zu senken. Daher ist es wichtig, ungenutzte Geheimnisse routinemäßig zu löschen.

### Abhilfe
<a name="secretsmanager-3-remediation"></a>

Informationen zum Löschen inaktiver Secrets Manager-Geheimnisse finden [Sie unter Löschen eines AWS Secrets Manager Geheimnisses](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html) im *AWS Secrets Manager Benutzerhandbuch*.

## [SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden
<a name="secretsmanager-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SecretsManager::Secret`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `maxDaysSinceRotation`  |  Maximale Anzahl von Tagen, an denen ein Geheimnis unverändert bleiben kann  |  Ganzzahl  |  `1` auf `180`  |  `90`  | 

Dieses Steuerelement prüft, ob ein AWS Secrets Manager Geheimnis innerhalb des angegebenen Zeitrahmens mindestens einmal rotiert wurde. Die Kontrolle schlägt fehl, wenn ein Geheimnis nicht mindestens so häufig gewechselt wird. Sofern Sie keinen benutzerdefinierten Parameterwert für den Rotationszeitraum angeben, verwendet Security Hub CSPM einen Standardwert von 90 Tagen.

Das Rotieren von Geheimnissen kann Ihnen helfen, das Risiko einer unbefugten Verwendung Ihrer Geheimnisse in Ihrem zu verringern. AWS-Konto Beispiele hierfür sind Datenbankanmeldedaten, Passwörter, API-Schlüssel von Drittanbietern und sogar beliebiger Text. Wenn Sie Ihre Geheimnisse über einen längeren Zeitraum nicht ändern, ist es wahrscheinlicher, dass die Geheimnisse kompromittiert werden.

Je mehr Benutzer Zugriff auf ein Geheimnis erhalten, desto wahrscheinlicher kann es sein, dass jemand falsch damit umgegangen ist und es an eine nicht autorisierte Person weitergegeben hat. Secrets können über Protokolle und Cache-Daten durchsickern. Sie werden ggf. für Debug-Zwecke freigegeben und nicht geändert oder widerrufen, wenn das Debugging abgeschlossen ist. Aus all diesen Gründen sollten Secrets regelmäßig rotiert werden.

Sie können die automatische Rotation von Geheimnissen in konfigurieren. AWS Secrets Manager Mit der automatischen Rotation können Sie langfristige Geheimnisse durch kurzfristige ersetzen, wodurch das Risiko von Kompromissen erheblich reduziert wird. Wir empfehlen Ihnen, die automatische Rotation für Ihre Secrets Manager zu konfigurieren. Weitere Informationen finden Sie unter [Rotieren von AWS Secrets Manager -Secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) im *AWS Secrets Manager -Benutzerhandbuch*. 

### Abhilfe
<a name="secretsmanager-4-remediation"></a>

Informationen zum Aktivieren der automatischen Rotation für Secrets Manager-Secrets finden Sie unter [Automatische Rotation für AWS Secrets Manager Secrets mithilfe der Konsole einrichten](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) im *AWS Secrets Manager Benutzerhandbuch*. Sie müssen eine AWS Lambda Funktion für die Rotation auswählen und konfigurieren.

## [SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden
<a name="secretsmanager-5"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::SecretsManager::Secret`

**AWS Config Regel:** `tagged-secretsmanager-secret` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein AWS Secrets Manager Secret Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn das Geheimnis keine Tagschlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Geheimnis mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="secretsmanager-5-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Secrets Manager Manager-Geheimnis finden Sie unter [AWS Secrets Manager Taggeheimnisse](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) im *AWS Secrets Manager Benutzerhandbuch*.

# Security Hub CSPM-Steuerungen für AWS Service Catalog
<a name="servicecatalog-controls"></a>

Dieses AWS Security Hub CSPM Steuerelement bewertet den AWS Service Catalog Dienst und die Ressourcen. Das Steuerelement ist möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden
<a name="servicecatalog-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-6, NIST.800-53.r5 CM-8, NIST.800-53.r5 SC-7

**Kategorie:** Schutz > Sichere Zugriffsverwaltung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::ServiceCatalog::Portfolio`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html](https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob AWS Service Catalog Portfolios innerhalb einer Organisation gemeinsam genutzt werden, wenn die Integration mit aktiviert AWS Organizations ist. Die Kontrolle schlägt fehl, wenn Portfolios nicht innerhalb einer Organisation gemeinsam genutzt werden.

Die Portfoliofreigabe nur innerhalb von Organizations trägt dazu bei, dass ein Portfolio nicht mit falschen Personen geteilt wird AWS-Konten. Um ein Servicekatalog-Portfolio mit einem Konto in einer Organisation zu teilen, empfiehlt Security Hub CSPM die Verwendung von `ORGANIZATION_MEMBER_ACCOUNT` anstelle von. `ACCOUNT` Dies vereinfacht die Verwaltung, da der Zugriff, der dem Konto gewährt wird, unternehmensweit geregelt wird. Wenn Sie aus geschäftlichen Gründen Service Catalog-Portfolios mit einem externen Konto teilen müssen, können Sie [die Ergebnisse dieser Steuerung automatisch unterdrücken](automation-rules.md) oder [deaktivieren](disable-controls-overview.md).

### Abhilfe
<a name="servicecatalog-1-remediation"></a>

Informationen zum Aktivieren der Portfolio-Sharing mit AWS Organizations finden Sie unter [Teilen mit AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations) im *AWS Service Catalog Administratorhandbuch*.

# Security Hub CSPM-Steuerungen für Amazon SES
<a name="ses-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Simple Email Service (Amazon SES).

Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden
<a name="ses-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::SES::ContactList`

**AWS Config Regel:** `tagged-ses-contactlist` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon SES SES-Kontaktliste Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredTagKeys`. Die Kontrolle schlägt fehl, wenn die Kontaktliste keine Tag-Schlüssel enthält oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Kontaktliste mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ses-1-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Amazon SES-Kontaktliste finden Sie [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)in der *Amazon SES API v2-Referenz*.

## [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden
<a name="ses-2"></a>

**Kategorie:** Identifizieren > Inventar > Kennzeichnung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::SES::ConfigurationSet`

**AWS Config Regel:** `tagged-ses-configurationset` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon SES SES-Konfigurationssatz Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredTagKeys`. Die Steuerung schlägt fehl, wenn der Konfigurationssatz keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Konfigurationssatz mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ses-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Amazon SES-Konfigurationssatz finden Sie [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)in der *Amazon SES API v2-Referenz*.

## [SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
<a name="ses-3"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit 

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SES::ConfigurationSet`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon SES SES-Konfigurationssatz TLS-Verbindungen erfordert. Die Steuerung schlägt fehl, wenn die TLS-Richtlinie `'REQUIRE'` für einen Konfigurationssatz nicht auf eingestellt ist.

Standardmäßig verwendet Amazon SES opportunistisches TLS, was bedeutet, dass E-Mails unverschlüsselt gesendet werden können, wenn keine TLS-Verbindung mit dem empfangenden E-Mail-Server hergestellt werden kann. Durch die Durchsetzung von TLS für den E-Mail-Versand wird sichergestellt, dass Nachrichten nur zugestellt werden, wenn eine sichere, verschlüsselte Verbindung hergestellt werden kann. Dies trägt dazu bei, die Vertraulichkeit und Integrität von E-Mail-Inhalten während der Übertragung zwischen Amazon SES und dem E-Mail-Server des Empfängers zu schützen. Wenn keine sichere TLS-Verbindung hergestellt werden kann, wird die Nachricht nicht zugestellt, wodurch die potenzielle Offenlegung vertraulicher Informationen verhindert wird.

**Anmerkung**  
Obwohl TLS 1.3 die Standardzustellungsmethode für Amazon SES ist, ohne dass die TLS-Anforderungen durch Konfigurationssätze durchgesetzt werden, könnten Nachrichten möglicherweise im Klartext zugestellt werden, wenn eine TLS-Verbindung fehlschlägt. Um diese Kontrolle zu übergeben, müssen Sie die TLS-Richtlinie `'REQUIRE'` in den Zustellungsoptionen Ihres SES-Konfigurationssatzes entsprechend konfigurieren. Wenn TLS erforderlich ist, werden Nachrichten nur zugestellt, wenn eine TLS-Verbindung mit dem empfangenden Mailserver hergestellt werden kann.

### Abhilfe
<a name="ses-3-remediation"></a>

Informationen zur Konfiguration von Amazon SES so, dass TLS-Verbindungen für einen Konfigurationssatz erforderlich sind, finden Sie unter [Amazon SES und Sicherheitsprotokolle](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver) im *Amazon SES Developer Guide*.

# Security Hub CSPM-Steuerungen für Amazon SNS
<a name="sns-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen des Amazon Simple Notification Service (Amazon SNS). Die Kontrollen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [SNS.1] SNS-Themen sollten im Ruhezustand wie folgt verschlüsselt werden AWS KMS
<a name="sns-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 (6), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.13.11, NIST.800-171.R2 3.13.16

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SNS::Topic`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon SNS SNS-Thema im Ruhezustand mithilfe von Schlüsseln verschlüsselt ist, die in AWS Key Management Service (AWS KMS) verwaltet werden. Die Steuerung schlägt fehl, wenn das SNS-Thema keinen KMS-Schlüssel für die serverseitige Verschlüsselung (SSE) verwendet. Standardmäßig speichert SNS Nachrichten und Dateien mithilfe der Festplattenverschlüsselung. Um diese Kontrolle zu bestehen, müssen Sie stattdessen einen KMS-Schlüssel für die Verschlüsselung verwenden. Dies fügt eine zusätzliche Sicherheitsebene hinzu und bietet mehr Flexibilität bei der Zugriffskontrolle.

Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass auf Daten, die auf der Festplatte gespeichert sind, von einem Benutzer zugegriffen wird, für den kein Benutzer authentifiziert ist. AWS API-Berechtigungen sind erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können. Wir empfehlen, SNS-Themen mit KMS-Schlüsseln zu verschlüsseln, um eine zusätzliche Sicherheitsebene zu gewährleisten.

### Abhilfe
<a name="sns-1-remediation"></a>

Informationen zur [Aktivierung von SSE für ein SNS-Thema finden Sie unter Serverseitige Verschlüsselung (SSE) für ein Amazon SNS SNS-Thema aktivieren im Amazon](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) *Simple Notification Service* Developer Guide. Bevor Sie SSE verwenden können, müssen Sie außerdem AWS KMS key Richtlinien konfigurieren, die die Verschlüsselung von Themen sowie die Verschlüsselung und Entschlüsselung von Nachrichten ermöglichen. Weitere Informationen finden Sie unter [Konfiguration von AWS KMS Berechtigungen](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse) im *Amazon Simple Notification Service Developer Guide*.

## [SNS.2] Die Protokollierung des Lieferstatus sollte für Benachrichtigungen aktiviert werden, die an ein Thema gesendet werden
<a name="sns-2"></a>

**Wichtig**  
Security Hub CSPM hat diese Kontrolle im April 2024 eingestellt. Weitere Informationen finden Sie unter [Änderungsprotokoll für Security Hub CSPM-Steuerelemente](controls-change-log.md).

**Verwandte Anforderungen:** NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SNS::Topic`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Protokollierung für den Lieferstatus von Benachrichtigungen aktiviert ist, die an ein Amazon SNS SNS-Thema für die Endgeräte gesendet werden. Diese Kontrolle schlägt fehl, wenn die Benachrichtigung über den Lieferstatus von Nachrichten nicht aktiviert ist.

Die Protokollierung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von Diensten. Die Protokollierung des Nachrichtenzustellungsstatus hilft dabei, betriebliche Erkenntnisse wie die folgenden zu gewinnen:
+ Kenntnis, ob eine Mitteilung an den Amazon SNS-Endpunkt gesendet wurde.
+ Ermittlung der Antwort, die vom Amazon SNS-Endpunkt an Amazon SNS gesendet wurde.
+ Bestimmung der Verweildauer der Nachricht (die Zeit zwischen dem Veröffentlichungszeitstempel und der Übergabe an einen Amazon SNS SNS-Endpunkt).

### Abhilfe
<a name="sns-2-remediation"></a>

Informationen zur Konfiguration der Versandstatusprotokollierung für ein Thema finden Sie unter [Amazon SNS SNS-Nachrichtenzustellungsstatus](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html) im *Amazon Simple Notification Service Developer Guide*.

## [SNS.3] SNS-Themen sollten markiert werden
<a name="sns-3"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::SNS::Topic`

**AWS Config Regel:** `tagged-sns-topic` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein Amazon SNS SNS-Thema Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn das Thema keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Thema mit keinem Schlüssel markiert ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="sns-3-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem SNS-Thema finden Sie unter [Konfiguration von Amazon SNS SNS-Themen-Tags](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html) im *Amazon Simple Notification Service Developer Guide*.

## [SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen
<a name="sns-4"></a>

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::SNS::Topic`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob die Amazon SNS SNS-Themenzugriffsrichtlinie öffentlichen Zugriff zulässt. Diese Kontrolle schlägt fehl, wenn die SNS-Themenzugriffsrichtlinie den öffentlichen Zugriff zulässt.

Sie verwenden eine Amazon SNS SNS-Zugriffsrichtlinie mit einem bestimmten Thema, um einzuschränken, wer mit diesem Thema arbeiten kann (z. B. wer Nachrichten zu diesem Thema veröffentlichen oder wer es abonnieren kann). SNS-Richtlinien können anderen AWS-Konten oder Benutzern innerhalb Ihres eigenen Bereichs Zugriff gewähren. AWS-Konto Die Angabe eines Platzhalters (\$1) im `Principal` Feld der Themenrichtlinie und das Fehlen von Bedingungen zur Einschränkung der Themenrichtlinie können zu Datenexfiltration, Denial-of-Service oder unerwünschter Einschleusung von Nachrichten in Ihren Dienst durch einen Angreifer führen.

**Anmerkung**  
Dieses Steuerelement bewertet keine Richtlinienbedingungen, die Platzhalterzeichen oder Variablen verwenden. Um ein `PASSED` Ergebnis zu erzielen, dürfen Bedingungen in der Amazon SNS SNS-Zugriffsrichtlinie für ein Thema nur feste Werte verwenden, d. h. Werte, die keine Platzhalterzeichen oder Richtlinienvariablen enthalten. Informationen zu Richtlinienvariablen finden Sie unter [Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) im *AWS Identity and Access Management Benutzerhandbuch*.

### Abhilfe
<a name="sns-4-remediation"></a>

Informationen zur Aktualisierung der Zugriffsrichtlinien für ein SNS-Thema finden Sie unter [Überblick über die Zugriffsverwaltung in Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html) im *Amazon Simple Notification Service Developer Guide*.

# Security Hub CSPM-Steuerelemente für Amazon SQS
<a name="sqs-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen des Amazon Simple Queue Service (Amazon SQS). Die Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden
<a name="sqs-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6)

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::SQS::Queue`

**AWS Config Regel:** `sqs-queue-encrypted` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon SQS SQS-Warteschlange im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn die Warteschlange nicht mit einem von SQL verwalteten Schlüssel (SSE-SQS) oder einem AWS Key Management Service () Schlüssel (SSE-KMS) verschlüsselt ist.AWS KMS

Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass ein nicht autorisierter Benutzer auf Daten zugreift, die auf der Festplatte gespeichert sind. Die serverseitige Verschlüsselung (SSE) schützt den Inhalt von Nachrichten in SQS-Warteschlangen mithilfe von SQS-verwalteten Verschlüsselungsschlüsseln (SSE-SQS) oder Schlüsseln (SSE-KMS). AWS KMS 

### Abhilfe
<a name="sqs-1-remediation"></a>

Informationen zur Konfiguration von SSE für eine SQS-Warteschlange finden Sie unter [Konfiguration der serverseitigen Verschlüsselung (SSE) für eine Warteschlange (Konsole)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html) im *Amazon Simple Queue Service Developer Guide*.

## [SQS.2] SQS-Warteschlangen sollten markiert werden
<a name="sqs-2"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::SQS::Queue`

**AWS Config Regel:** `tagged-sqs-queue` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob eine Amazon SQS SQS-Warteschlange Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die Warteschlange keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Warteschlange mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="sqs-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer vorhandenen Warteschlange mithilfe der Amazon SQS SQS-Konsole finden Sie unter [Konfiguration von Kostenzuweisungs-Tags für eine Amazon SQS SQS-Warteschlange (Konsole)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html) im *Amazon Simple Queue Service Developer Guide*.

## [SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen
<a name="sqs-3"></a>

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Ressource nicht öffentlich zugänglich

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::SQS::Queue`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Mit dieser Steuerung wird geprüft, ob eine Amazon SQS SQS-Zugriffsrichtlinie öffentlichen Zugriff auf eine SQS-Warteschlange ermöglicht. Die Kontrolle schlägt fehl, wenn eine SQS-Zugriffsrichtlinie öffentlichen Zugriff auf die Warteschlange ermöglicht.

Eine Amazon SQS SQS-Zugriffsrichtlinie kann den öffentlichen Zugriff auf eine SQS-Warteschlange ermöglichen, was einem anonymen Benutzer oder einer authentifizierten AWS IAM-Identität den Zugriff auf die Warteschlange ermöglichen kann. SQS-Zugriffsrichtlinien ermöglichen diesen Zugriff in der Regel durch Angabe des Platzhalterzeichens (`*`) im `Principal` Element der Richtlinie, ohne dass die richtigen Bedingungen verwendet werden, um den Zugriff auf die Warteschlange einzuschränken, oder beides. Wenn eine SQS-Zugriffsrichtlinie öffentlichen Zugriff zulässt, können Dritte möglicherweise Aufgaben wie das Empfangen von Nachrichten aus der Warteschlange, das Senden von Nachrichten an die Warteschlange oder das Ändern der Zugriffsrichtlinie für die Warteschlange ausführen. Dies kann zu Ereignissen wie Datenexfiltration, einem Denial-of-Service oder der Einschleusung von Nachrichten in die Warteschlange durch einen Bedrohungsakteur führen.

**Anmerkung**  
Dieses Steuerelement bewertet keine Richtlinienbedingungen, die Platzhalterzeichen oder Variablen verwenden. Um ein `PASSED` Ergebnis zu erzielen, dürfen Bedingungen in der Amazon SQS SQS-Zugriffsrichtlinie für eine Warteschlange nur feste Werte verwenden, d. h. Werte, die keine Platzhalterzeichen oder Richtlinienvariablen enthalten. Informationen zu Richtlinienvariablen finden Sie unter [Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) im *AWS Identity and Access Management Benutzerhandbuch*.

### Abhilfe
<a name="sqs-3-remediation"></a>

Informationen zur Konfiguration der SQS-Zugriffsrichtlinie für eine SQS-Warteschlange finden Sie unter [Using custom policies with the Amazon SQS Access Policy Language](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) im *Amazon Simple Queue Service* Developer Guide.

# Security Hub CSPM-Steuerelemente für Step Functions
<a name="stepfunctions-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS Step Functions Service und die Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben
<a name="stepfunctions-1"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/10.4.2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::StepFunctions::StateMachine`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `logLevel`  |  Minimale Protokollierungsebene  |  Enum  |  `ALL, ERROR, FATAL`  |  Kein Standardwert  | 

Mit dieser Steuerung wird geprüft, ob bei einer AWS Step Functions Zustandsmaschine die Protokollierung aktiviert ist. Die Steuerung schlägt fehl, wenn für eine Zustandsmaschine die Protokollierung nicht aktiviert ist. Wenn Sie einen benutzerdefinierten Wert für den `logLevel` Parameter angeben, wird die Steuerung nur erfolgreich ausgeführt, wenn für die Zustandsmaschine die angegebene Protokollierungsebene aktiviert ist.

Durch die Überwachung können Sie die Zuverlässigkeit, Verfügbarkeit und Leistung von Step Functions aufrechterhalten. Sie sollten so viele Überwachungsdaten sammeln AWS-Services , wie Sie verwenden, damit Sie Fehler an mehreren Punkten leichter debuggen können. Wenn Sie eine Protokollierungskonfiguration für Ihre Step Functions Functions-Zustandsmaschinen definiert haben, können Sie den Ausführungsverlauf und die Ergebnisse in Amazon CloudWatch Logs verfolgen. Optional können Sie nur Fehler oder schwerwiegende Ereignisse verfolgen.

### Abhilfe
<a name="stepfunctions-1-remediation"></a>

Informationen zum Aktivieren der Protokollierung für eine Step Functions Functions-Zustandsmaschine finden [Sie unter Protokollierung konfigurieren](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure) im *AWS Step Functions Entwicklerhandbuch*.

## [StepFunctions.2] Die Aktivitäten von Step Functions sollten markiert werden
<a name="stepfunctions-2"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::StepFunctions::Activity`

**AWS Config Regel:** `tagged-stepfunctions-activity` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine AWS Step Functions Aktivität Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn die Aktivität keine Tag-Schlüssel hat oder wenn nicht alle im Parameter angegebenen Schlüssel vorhanden sind`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Aktivität mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="stepfunctions-2-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Step Functions-Aktivität finden Sie unter [Tagging in Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html) im *AWS Step Functions Entwicklerhandbuch*.

# Security Hub CSPM-Steuerelemente für Systems Manager
<a name="ssm-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS Systems Manager (SSM) -Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager
<a name="ssm-1"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8), NIST.800-53.r5 SA-1 NIST.800-53.R5 SI-2 (3) NIST.800-53.r5 SA-3

**Kategorie:** Identifizieren > Bestand

**Schweregrad:** Mittel

**Evaluierte Ressource:** `AWS::EC2::Instance`

**Erforderliche AWS Config Aufzeichnungsressourcen:**`AWS::EC2::Instance`, `AWS::SSM::ManagedInstanceInventory`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die gestoppten und laufenden EC2-Instances in Ihrem Konto von AWS Systems Manager verwaltet werden. Systems Manager ist ein AWS-Service Programm, mit dem Sie Ihre AWS Infrastruktur anzeigen und steuern können.

Um Sie bei der Aufrechterhaltung von Sicherheit und Compliance zu unterstützen, scannt Systems Manager Ihre gestoppten und laufenden verwalteten Instances. Eine verwaltete Instanz ist eine Maschine, die für die Verwendung mit Systems Manager konfiguriert ist. Systems Manager meldet dann alle festgestellten Richtlinienverstöße oder ergreift Korrekturmaßnahmen. Systems Manager hilft Ihnen auch, Ihre verwalteten Instances zu konfigurieren und zu verwalten. Weitere Informationen finden Sie im [AWS Systems Manager -Benutzerhandbuch](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html).

**Anmerkung**  
Dieses Steuerelement generiert `FAILED` Ergebnisse für EC2-Instances, bei denen es sich um AWS Elastic Disaster Recovery Replication Server-Instances handelt, von denen sie verwaltet werden. AWS Eine Replication Server-Instance ist eine EC2-Instance, die automatisch von gestartet wird, AWS Elastic Disaster Recovery um die kontinuierliche Datenreplikation von Quellservern aus zu unterstützen. AWS entfernt absichtlich den Systems Manager (SSM) -Agenten aus diesen Instanzen, um die Isolation aufrechtzuerhalten und potenzielle unbeabsichtigte Zugriffspfade zu verhindern.

### Abhilfe
<a name="ssm-1-remediation"></a>

Informationen zur Verwaltung von EC2-Instances mit AWS Systems Manager finden Sie unter [Amazon EC2 EC2-Hostmanagement](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) im *AWS Systems Manager Benutzerhandbuch*. Im Bereich **Konfigurationsoptionen** auf der AWS Systems Manager Konsole können Sie die Standardeinstellungen beibehalten oder sie nach Bedarf für Ihre bevorzugte Konfiguration ändern.

## [SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben
<a name="ssm-2"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (3), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), NIST.800-171.r2 3.7.1, PCI DSS v3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

**Kategorie:** Erkennung > Erkennungsservices 

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::SSM::PatchCompliance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement überprüft, ob der Konformitätsstatus von Systems Manager Patch Compliance `COMPLIANT` oder `NON_COMPLIANT` nach der Patch-Installation auf der Instanz ist. Die Kontrolle schlägt fehl, wenn der Konformitätsstatus lautet`NON_COMPLIANT`. Das Steuerelement überprüft nur Instanzen, die von Systems Manager Patch Manager verwaltet werden.

Durch das Patchen Ihrer EC2-Instances gemäß den Anforderungen Ihres Unternehmens wird die Angriffsfläche Ihrer Instances reduziert. AWS-Konten

### Abhilfe
<a name="ssm-2-remediation"></a>

Systems Manager empfiehlt die Verwendung von [Patch-Richtlinien](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html), um das Patchen für Ihre verwalteten Instanzen zu konfigurieren. Sie können auch [Systems Manager Manager-Dokumente](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html) verwenden, wie im folgenden Verfahren beschrieben, um eine Instanz zu patchen.

**So korrigieren Sie nicht konforme Patches**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie für **Node Management** die Option **Befehl ausführen** und anschließend **Befehl ausführen** aus.

1. Wählen Sie die Option für **AWS- RunPatchBaseline**.

1. Ändern Sie die **Operation** in **Install (Installieren)**.

1. **Wählen Sie Instanzen manuell** auswählen und wählen Sie dann die nicht konformen Instanzen aus.

1. Klicken Sie auf **Ausführen**.

1. **Wenn der Befehl abgeschlossen ist, wählen Sie im Navigationsbereich Compliance aus, um den neuen Compliance-Status Ihrer gepatchten Instances zu überwachen.**

## [SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben
<a name="ssm-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-8, NIST.800-53.R5 CM-8 (1), NIST.800-53.R5 CM-8 (3), NIST.800-53.r5 SI-2 (3), PCI DSS v3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

**Kategorie:** Erkennung > Erkennungsservices

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::SSM::AssociationCompliance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Mit diesem Steuerelement wird geprüft, ob der Status der AWS Systems Manager Zuordnung auf einer Instanz den Status „Konformität“ hat `COMPLIANT` oder `NON_COMPLIANT` nachdem die Zuordnung ausgeführt wurde. Die Kontrolle schlägt fehl, wenn der Compliance-Status der Assoziation lautet`NON_COMPLIANT`.

Eine State Manager-Zuordnung ist eine Konfiguration, die Ihren verwalteten Instances zugewiesen ist. Die Konfiguration definiert den Status, den Sie auf Ihren Instances beibehalten möchten. Eine Zuordnung kann beispielsweise angeben, dass Antivirensoftware auf Ihren Instanzen installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen. 

Nachdem Sie eine oder mehrere State Manager-Zuordnungen erstellt haben, stehen Ihnen sofort Informationen zum Compliance-Status zur Verfügung. Sie können den Konformitätsstatus in der Konsole oder als Reaktion auf AWS CLI Befehle oder entsprechende Systems Manager API-Aktionen anzeigen. Bei Zuordnungen zeigt Configuration Compliance den Konformitätsstatus (`Compliant`oder`Non-compliant`) an. Außerdem wird der Schweregrad angezeigt, der der Zuordnung zugewiesen wurde, z. B. `Critical` oder`Medium`.

Weitere Informationen zur Einhaltung der State Manager-Zuordnungen finden Sie im *AWS Systems Manager Benutzerhandbuch unter [Informationen zur Einhaltung von State Manager-Zuordnungen](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association)*.

### Abhilfe
<a name="ssm-3-remediation"></a>

Eine fehlgeschlagene Zuordnung kann auf verschiedene Dinge zurückzuführen sein, z. B. auf Ziele und Systems Manager Manager-Dokumentnamen. Um dieses Problem zu beheben, müssen Sie zunächst die Zuordnung identifizieren und untersuchen, indem Sie sich den Zuordnungsverlauf ansehen. Anweisungen zum Anzeigen des Zuordnungsverlaufs finden Sie unter [Zuordnungshistorien](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html) anzeigen im *AWS Systems Manager Benutzerhandbuch*.

Nach der Untersuchung können Sie die Zuordnung bearbeiten, um das festgestellte Problem zu beheben. Sie können eine Zuordnung bearbeiten, um den Namen, den Zeitplan, den Schweregrad oder die Ziele zu ändern. Nachdem Sie eine Zuordnung bearbeitet haben, AWS Systems Manager wird eine neue Version erstellt. Anweisungen zum Bearbeiten einer Zuordnung finden Sie im *AWS Systems Manager Benutzerhandbuch* unter [Bearbeiten und Erstellen einer neuen Version einer Zuordnung](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html).

## [SSM.4] SSM-Dokumente sollten nicht öffentlich sein
<a name="ssm-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::SSM::Document`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Mit dieser Kontrolle wird geprüft, ob AWS Systems Manager Dokumente, die einem Konto gehören, öffentlich sind. Die Kontrolle schlägt fehl, wenn Systems Manager Manager-Dokumente, die den Eigentümer haben`Self`, öffentlich sind.

Öffentliche Systems Manager Manager-Dokumente ermöglichen möglicherweise unbeabsichtigten Zugriff auf Ihre Dokumente. Ein öffentliches Systems Manager Manager-Dokument kann wertvolle Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse enthalten.

Sofern Ihr Anwendungsfall die öffentliche Freigabe nicht erfordert, empfehlen wir, die öffentliche Freigabe für Systems Manager Manager-Dokumente zu blockieren, die den Eigentümer haben`Self`.

### Abhilfe
<a name="ssm-4-remediation"></a>

Informationen zur Konfiguration der gemeinsamen Nutzung von Systems Manager Manager-Dokumenten finden [Sie unter Freigeben eines SSM-Dokuments](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share) im *AWS Systems Manager Benutzerhandbuch*.

## [SSM.5] SSM-Dokumente sollten mit Tags versehen werden
<a name="ssm-5"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::SSM::Document`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob ein AWS Systems Manager Dokument über die im `requiredKeyTags` Parameter angegebenen Tagschlüssel verfügt. Das Steuerelement schlägt fehl, wenn das Dokument keine Tag-Schlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Dokument keine Tagschlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben. Die Kontrolle bewertet keine Systems Manager Manager-Dokumente, die Amazon gehören.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="ssm-5-remediation"></a>

Um einem AWS Systems Manager Dokument Tags hinzuzufügen, können Sie den [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)Betrieb der AWS Systems Manager API verwenden oder, falls Sie die verwenden AWS CLI, den [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)Befehl ausführen. Sie können auch die AWS Systems Manager -Konsole verwenden.

## [SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
<a name="ssm-6"></a>

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Diese Kontrolle prüft, ob die CloudWatch Amazon-Protokollierung für AWS Systems Manager (SSM) Automation aktiviert ist. Die Kontrolle schlägt fehl, wenn die CloudWatch Protokollierung für SSM Automation nicht aktiviert ist.

SSM Automation ist ein AWS Systems Manager Tool, mit dem Sie automatisierte Lösungen für die skalierbare Bereitstellung, Konfiguration und Verwaltung von AWS Ressourcen mithilfe vordefinierter oder benutzerdefinierter Runbooks erstellen können. Um die Betriebs- oder Sicherheitsanforderungen für Ihr Unternehmen zu erfüllen, müssen Sie möglicherweise eine Aufzeichnung der ausgeführten Skripts bereitstellen. Sie können SSM Automation so konfigurieren, dass die Ausgabe von `aws:executeScript` Aktionen in Ihren Runbooks an eine von Ihnen angegebene Amazon CloudWatch Logs-Protokollgruppe gesendet wird. Mit CloudWatch Logs können Sie Protokolldateien aus verschiedenen Quellen überwachen, speichern und darauf zugreifen. AWS-Services

### Abhilfe
<a name="ssm-6-remediation"></a>

Informationen zur Aktivierung der CloudWatch Protokollierung für SSM Automation finden Sie unter [Ausgabe der Automatisierungsaktion protokollieren mit CloudWatch Protokollen](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html) im *AWS Systems Manager Benutzerhandbuch*.

## [SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
<a name="ssm-7"></a>

**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Ressource nicht öffentlich zugänglich

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Einstellung „Öffentliche Freigabe blockieren“ für AWS Systems Manager Dokumente aktiviert ist. Die Steuerung schlägt fehl, wenn die Einstellung Öffentliche Freigabe blockieren für Systems Manager Manager-Dokumente deaktiviert ist.

Die Einstellung „Öffentliches Teilen von Dokumenten blockieren“ AWS Systems Manager (SSM) ist eine Einstellung auf Kontoebene. Durch die Aktivierung dieser Einstellung kann unerwünschter Zugriff auf Ihre SSM-Dokumente verhindert werden. Wenn Sie diese Einstellung aktivieren, wirkt sich Ihre Änderung nicht auf SSM-Dokumente aus, die Sie derzeit für die Öffentlichkeit freigeben. Sofern Ihr Anwendungsfall nicht erfordert, dass Sie SSM-Dokumente für die Öffentlichkeit freigeben, empfehlen wir Ihnen, die Einstellung „Öffentliches Teilen blockieren“ zu aktivieren. Die Einstellung kann für jede AWS-Region Einstellung unterschiedlich sein.

### Abhilfe
<a name="ssm-7-remediation"></a>

Informationen zur Aktivierung der Einstellung „Öffentliches Teilen blockieren“ für Dokumente AWS Systems Manager (SSM) finden Sie im *AWS Systems Manager Benutzerhandbuch* unter [Öffentliche Freigabe für SSM-Dokumente blockieren](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access).

# Security Hub CSPM-Steuerungen für AWS Transfer Family
<a name="transfer-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS Transfer Family Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden
<a name="transfer-1"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Transfer::Workflow`

**AWS Config Regel:** `tagged-transfer-workflow` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein AWS Transfer Family Workflow Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Das Steuerelement schlägt fehl, wenn der Workflow keine Tagschlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Workflow mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="transfer-1-remediation"></a>

**So fügen Sie Stichwörter zu einem Transfer Family Family-Workflow hinzu (Konsole)**

1. Öffnen Sie die AWS Transfer Family Konsole.

1. Wählen Sie im Navigationsbereich die Option **Workflows** aus. Wählen Sie dann den Workflow aus, den Sie taggen möchten.

1. Wählen Sie **Tags verwalten** aus und fügen Sie dann die Tags hinzu.

## [Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden
<a name="transfer-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5,, PCI DSS NIST.800-53.r5 SC-8 v4.0.1/4.2.1

**Kategorie: Schützen > Datenschutz >** Verschlüsselung von data-in-transit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::Transfer::Server`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein AWS Transfer Family Server ein anderes Protokoll als FTP für die Endpunktverbindung verwendet. Die Steuerung schlägt fehl, wenn der Server das FTP-Protokoll verwendet, damit ein Client eine Verbindung zum Serverendpunkt herstellt.

FTP (File Transfer Protocol) stellt die Endpunktverbindung über unverschlüsselte Kanäle her, sodass Daten, die über diese Kanäle gesendet werden, abgefangen werden können. Die Verwendung von SFTP (SSH File Transfer Protocol), FTPS (File Transfer Protocol Secure) oder AS2 (Applicability Statement 2) bietet eine zusätzliche Sicherheitsebene, indem Ihre Daten während der Übertragung verschlüsselt werden, und kann dazu verwendet werden, potenzielle Angreifer daran zu hindern, den Netzwerkverkehr zu belauschen person-in-the-middle oder zu manipulieren.

### Abhilfe
<a name="transfer-2-remediation"></a>

Informationen zum Ändern des Protokolls für einen Transfer Family Family-Server finden Sie unter [Bearbeiten der Dateiübertragungsprotokolle](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols) im *AWS Transfer Family Benutzerhandbuch*.

## [Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein
<a name="transfer-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Ressourcentyp:** `AWS::Transfer::Connector`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die CloudWatch Amazon-Protokollierung für einen AWS Transfer Family Connector aktiviert ist. Die Steuerung schlägt fehl, wenn die CloudWatch Protokollierung für den Connector nicht aktiviert ist.

Amazon CloudWatch ist ein Überwachungs- und Beobachtbarkeitsservice, der Einblick in Ihre AWS Ressourcen, einschließlich AWS Transfer Family Ressourcen, bietet. For Transfer Family CloudWatch bietet konsolidierte Prüfungen und Protokollierung des Workflow-Fortschritts und der Ergebnisse. Dazu gehören mehrere Metriken, die Transfer Family für Workflows definiert. Sie können Transfer Family so konfigurieren, dass Connector-Ereignisse automatisch protokolliert CloudWatch werden. Dazu geben Sie eine Protokollierungsrolle für den Connector an. Für die Protokollierungsrolle erstellen Sie eine IAM-Rolle und eine ressourcenbasierte IAM-Richtlinie, die die Berechtigungen für die Rolle definiert.

### Abhilfe
<a name="transfer-3-remediation"></a>

Informationen zur Aktivierung der CloudWatch Protokollierung für einen Transfer Family Family-Connector finden Sie unter [ CloudWatch Amazon-Protokollierung für AWS Transfer Family Server](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html) im *AWS Transfer Family Benutzerhandbuch*.

## [Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
<a name="transfer-4"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Transfer::Agreement`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob eine AWS Transfer Family Vereinbarung die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel enthält. Das Steuerelement schlägt fehl, wenn die Vereinbarung keine Tagschlüssel oder nicht alle durch den `requiredKeyTags` Parameter angegebenen Schlüssel enthält. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Vereinbarung keine Tagschlüssel enthält. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="transfer-4-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer AWS Transfer Family Vereinbarung finden Sie unter [Methoden zur Kennzeichnung von Ressourcen für Ressourcen und Tag-Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) im *Benutzerhandbuch zur Kennzeichnung von AWS Ressourcen und Tag-Editor*.

## [Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein
<a name="transfer-5"></a>

**Kategorie:** Identifizieren > Inventar > Kennzeichnung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Transfer::Certificate`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob ein AWS Transfer Family Zertifikat über die im `requiredKeyTags` Parameter angegebenen Tagschlüssel verfügt. Die Steuerung schlägt fehl, wenn das Zertifikat keine Tagschlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel enthält. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Zertifikat keine Tagschlüssel enthält. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="transfer-5-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS Transfer Family Zertifikat finden Sie unter [Methoden zur Kennzeichnung von Ressourcen für Ressourcen und Tag-Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) im *Benutzerhandbuch zur Kennzeichnung von AWS Ressourcen und Tag-Editor*.

## [Transfer.6] Steckverbinder der Transfer-Familie sollten gekennzeichnet sein
<a name="transfer-6"></a>

**Kategorie:** Identifizieren > Inventar > Kennzeichnung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Transfer::Connector`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob ein AWS Transfer Family Konnektor über die im `requiredKeyTags` Parameter angegebenen Tag-Schlüssel verfügt. Das Steuerelement schlägt fehl, wenn der Konnektor keine Tag-Schlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Konnektor keine Tagschlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="transfer-6-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem AWS Transfer Family Connector finden Sie unter [Methoden zur Kennzeichnung von Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) für * AWS Ressourcen und Tag-Editor für Ressourcen mit Tags.*

## [Transfer.7] Familienprofile sollten mit Tags versehen werden
<a name="transfer-7"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::Transfer::Profile`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob ein AWS Transfer Family Profil die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel enthält. Das Steuerelement schlägt fehl, wenn das Profil keine Tagschlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Profil keine Tagschlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben. Das Steuerelement wertet lokale Profile und Partnerprofile aus.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="transfer-7-remediation"></a>

Informationen zum Hinzufügen von Stichwörtern zu einem AWS Transfer Family Profil finden Sie unter [Methoden zur Kennzeichnung von Ressourcen für Ressourcen und Tag-Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) im *Benutzerhandbuch zur Kennzeichnung von AWS Ressourcen und Tag-Editor*.

# Security Hub CSPM-Steuerungen für AWS WAF
<a name="waf-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den AWS WAF Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein
<a name="waf-1"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::WAF::WebACL`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Protokollierung für eine AWS WAF globale Web-ACL aktiviert ist. Dieses Steuerelement schlägt fehl, wenn die Protokollierung für die Web-ACL nicht aktiviert ist.

Die Protokollierung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von AWS WAF Global. Sie ist in vielen Unternehmen eine Geschäfts- und Compliance-Anforderung und ermöglicht es Ihnen, Fehler beim Verhalten von Anwendungen zu beheben. Es enthält auch detaillierte Informationen über den Datenverkehr, der von der angehängten Web-ACL analysiert wird AWS WAF.

### Abhilfe
<a name="waf-1-remediation"></a>

Informationen zum Aktivieren der Protokollierung für eine AWS WAF Web-ACL finden Sie unter [Logging Web-ACL-Verkehrsinformationen](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html) im *AWS WAF Developer Guide*.

## [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben
<a name="waf-2"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::WAFRegional::Rule`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine AWS WAF Regionalregel mindestens eine Bedingung hat. Die Steuerung schlägt fehl, wenn in einer Regel keine Bedingungen erfüllt sind.

Eine regionale WAF-Regel kann mehrere Bedingungen enthalten. Die Bedingungen der Regel ermöglichen es, den Verkehr zu überprüfen und eine definierte Aktion auszuführen (zulassen, blockieren oder zählen). Ohne jegliche Bedingungen wird der Verkehr ohne Inspektion weitergeleitet. Eine WAF-Regionalregel ohne Bedingungen, aber mit einem Namen oder Tag, der auf Zulassen, Blockieren oder Zählen hindeutet, könnte zu der falschen Annahme führen, dass eine dieser Aktionen stattfindet.

### Abhilfe
<a name="waf-2-remediation"></a>

Informationen zum Hinzufügen einer Bedingung zu einer leeren Regel finden Sie unter [Hinzufügen und Entfernen von Bedingungen in einer Regel](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) im *AWS WAF Entwicklerhandbuch*.

## [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
<a name="waf-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::WAFRegional::RuleGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine AWS WAF regionale Regelgruppe mindestens eine Regel hat. Die Steuerung schlägt fehl, wenn in einer Regelgruppe keine Regeln vorhanden sind.

Eine regionale WAF-Regelgruppe kann mehrere Regeln enthalten. Die Bedingungen der Regel ermöglichen die Überprüfung des Datenverkehrs und das Ergreifen einer definierten Aktion (Zulassen, Blockieren oder Zählen). Ohne Regeln passiert der Verkehr ohne Inspektion. Eine regionale WAF-Regelgruppe ohne Regeln, aber mit einem Namen oder Tag, der auf Zulassen, Blockieren oder Zählen hindeutet, könnte zu der falschen Annahme führen, dass eine dieser Aktionen stattfindet.

### Abhilfe
<a name="waf-3-remediation"></a>

Informationen zum Hinzufügen von Regeln und Regelbedingungen zu einer leeren Regelgruppe finden Sie unter [Hinzufügen und Löschen von Regeln aus einer AWS WAF klassischen Regelgruppe](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html) und [Hinzufügen und Entfernen von Bedingungen in einer Regel](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) im *AWS WAF Entwicklerhandbuch*.

## [WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten
<a name="waf-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::WAFRegional::WebACL`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine AWS WAF Classic Regional Web-ACL WAF-Regeln oder WAF-Regelgruppen enthält. Dieses Steuerelement schlägt fehl, wenn eine Web-ACL keine WAF-Regeln oder Regelgruppen enthält.

Eine regionale WAF-Web-ACL kann eine Sammlung von Regeln und Regelgruppen enthalten, die Webanfragen prüfen und kontrollieren. Wenn eine Web-ACL leer ist, kann der Web-Traffic je nach Standardaktion weitergeleitet werden, ohne von der WAF erkannt oder bearbeitet zu werden.

### Abhilfe
<a name="waf-4-remediation"></a>

Informationen zum Hinzufügen von Regeln oder Regelgruppen zu einer leeren AWS WAF Classic Regional Web-ACL finden Sie unter [Bearbeiten einer Web-ACL](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) im *AWS WAF Entwicklerhandbuch*.

## [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
<a name="waf-6"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::WAF::Rule`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine AWS WAF globale Regel Bedingungen enthält. Das Steuerelement schlägt fehl, wenn in einer Regel keine Bedingungen erfüllt sind.

Eine globale WAF-Regel kann mehrere Bedingungen enthalten. Die Bedingungen einer Regel ermöglichen die Überprüfung des Datenverkehrs und das Ergreifen einer definierten Aktion (zulassen, blockieren oder zählen). Ohne jegliche Bedingungen wird der Verkehr ohne Inspektion weitergeleitet. Eine globale WAF-Regel ohne Bedingungen, aber mit einem Namen oder Tag, der auf Zulassen, Blockieren oder Zählen hindeutet, könnte zu der falschen Annahme führen, dass eine dieser Aktionen stattfindet.

### Abhilfe
<a name="waf-6-remediation"></a>

Anweisungen zum Erstellen einer Regel und zum Hinzufügen von Bedingungen finden Sie unter [Regel erstellen und Bedingungen hinzufügen](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html) im *AWS WAF Entwicklerhandbuch*.

## [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
<a name="waf-7"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::WAF::RuleGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine AWS WAF globale Regelgruppe mindestens eine Regel hat. Das Steuerelement schlägt fehl, wenn innerhalb einer Regelgruppe keine Regeln vorhanden sind.

Eine globale WAF-Regelgruppe kann mehrere Regeln enthalten. Die Bedingungen der Regel ermöglichen die Überprüfung des Datenverkehrs und das Ergreifen einer definierten Aktion (Zulassen, Blockieren oder Zählen). Ohne Regeln passiert der Verkehr ohne Inspektion. Eine globale WAF-Regelgruppe ohne Regeln, aber mit einem Namen oder Tag, der auf Zulassen, Blockieren oder Zählen hindeutet, könnte zu der falschen Annahme führen, dass eine dieser Aktionen stattfindet.

### Abhilfe
<a name="waf-7-remediation"></a>

Anweisungen zum Hinzufügen einer Regel zu einer Regelgruppe finden Sie unter [Creating an AWS WAF Classic Rule Group](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html) im *AWS WAF Developer Guide*.

## [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben
<a name="waf-8"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::WAF::WebACL`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine AWS WAF globale Web-ACL mindestens eine WAF-Regel oder WAF-Regelgruppe enthält. Die Steuerung schlägt fehl, wenn eine Web-ACL keine WAF-Regeln oder Regelgruppen enthält.

Eine globale WAF-Web-ACL kann eine Sammlung von Regeln und Regelgruppen enthalten, die Webanfragen prüfen und kontrollieren. Wenn eine Web-ACL leer ist, kann der Web-Traffic weitergeleitet werden, ohne dass er von der WAF erkannt oder bearbeitet wird, je nach Standardaktion.

### Abhilfe
<a name="waf-8-remediation"></a>

Informationen zum Hinzufügen von Regeln oder Regelgruppen zu einer leeren AWS WAF globalen Web-ACL finden Sie unter [Bearbeiten einer Web-ACL](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) im *AWS WAF Entwicklerhandbuch*. Wählen Sie für **Filter** die Option **Global (CloudFront)**.

## [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben
<a name="waf-10"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::WAFv2::WebACL`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine AWS WAF V2-Web-Zugriffskontrollliste (Web-ACL) mindestens eine Regel oder Regelgruppe enthält. Die Steuerung schlägt fehl, wenn eine Web-ACL keine Regeln oder Regelgruppen enthält.

Eine Web-ACL gibt Ihnen eine detaillierte Kontrolle über alle HTTP (S) -Webanfragen, auf die Ihre geschützte Ressource reagiert. Eine Web-ACL sollte eine Sammlung von Regeln und Regelgruppen enthalten, die Webanfragen prüfen und kontrollieren. Wenn eine Web-ACL leer ist, kann der Web-Traffic AWS WAF je nach Standardaktion weitergeleitet werden, ohne dass er erkannt oder bearbeitet wird.

### Abhilfe
<a name="waf-10-remediation"></a>

Informationen zum Hinzufügen von Regeln oder Regelgruppen zu einer leeren WAFV2 Web-ACL finden Sie unter [Bearbeiten einer Web-ACL](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html) im *AWS WAF Entwicklerhandbuch*.

## [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein
<a name="waf-11"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::WAFv2::WebACL`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Protokollierung für eine AWS WAF V2-Webzugriffskontrollliste (Web-ACL) aktiviert ist. Diese Kontrolle schlägt fehl, wenn die Protokollierung für die Web-ACL deaktiviert ist.

**Anmerkung**  
Dieses Steuerelement überprüft nicht, ob die AWS WAF Web-ACL-Protokollierung für ein Konto über Amazon Security Lake aktiviert ist.

Die Protokollierung gewährleistet die Zuverlässigkeit, Verfügbarkeit und Leistung von AWS WAF. Darüber hinaus ist die Protokollierung in vielen Organisationen eine Geschäfts- und Compliance-Anforderung. Durch die Protokollierung des Datenverkehrs, der von Ihrer Web-ACL analysiert wird, können Sie Fehler beim Verhalten von Anwendungen beheben.

### Abhilfe
<a name="waf-11-remediation"></a>

Informationen zur Aktivierung der Protokollierung für eine AWS WAF Web-ACL finden Sie unter [Verwaltung der Protokollierung für eine Web-ACL](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) im *AWS WAF Entwicklerhandbuch*.

## Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch
<a name="waf-12"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), NIST.800-171.R2 3.14.6, NIST.800-171.r2 3.14.7

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::WAFv2::RuleGroup`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für eine AWS WAF Regel oder Regelgruppe CloudWatch Amazon-Metriken aktiviert sind. Die Kontrolle schlägt fehl, wenn für die Regel oder Regelgruppe keine CloudWatch Metriken aktiviert sind.

Durch die Konfiguration von CloudWatch Metriken AWS WAF für Regeln und Regelgruppen erhalten Sie Einblick in den Verkehrsfluss. Sie können sehen, welche ACL-Regeln ausgelöst werden und welche Anfragen akzeptiert und blockiert werden. Diese Sichtbarkeit kann Ihnen helfen, böswillige Aktivitäten auf Ihren verknüpften Ressourcen zu erkennen.

### Abhilfe
<a name="waf-12-remediation"></a>

Rufen Sie die [ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html)API auf, um CloudWatch Metriken für eine AWS WAF Regelgruppe zu aktivieren. Rufen Sie die [ UpdateWebACL-API](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) auf, um CloudWatch Metriken für eine AWS WAF Regel zu aktivieren. Stellen Sie das `CloudWatchMetricsEnabled` Feld auf ein. `true` Wenn Sie die AWS WAF Konsole verwenden, um Regeln oder Regelgruppen zu erstellen, werden CloudWatch Metriken automatisch aktiviert.

# Security Hub CSPM-Steuerungen für WorkSpaces
<a name="workspaces-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den WorkSpaces Service und die Ressourcen von Amazon.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
<a name="workspaces-1"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::WorkSpaces::Workspace`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob ein Benutzervolume in einem Amazon im Ruhezustand verschlüsselt WorkSpaces WorkSpace ist. Die Kontrolle schlägt fehl, wenn das WorkSpace Benutzervolume im Ruhezustand nicht verschlüsselt ist.

Daten im Ruhezustand beziehen sich auf Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch die Verschlüsselung ruhender Daten können Sie deren Vertraulichkeit schützen, wodurch das Risiko verringert wird, dass ein nicht autorisierter Benutzer darauf zugreifen kann.

### Abhilfe
<a name="workspaces-1-remediation"></a>

Informationen zum Verschlüsseln eines WorkSpaces Benutzervolumes finden Sie unter [Encrypt a WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) im * WorkSpaces Amazon-Administratorhandbuch*.

## [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
<a name="workspaces-2"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::WorkSpaces::Workspace`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Kontrolle prüft, ob ein Root-Volume in einem Amazon im Ruhezustand verschlüsselt WorkSpaces WorkSpace ist. Die Kontrolle schlägt fehl, wenn das WorkSpace Root-Volume im Ruhezustand nicht verschlüsselt ist.

Daten im Ruhezustand beziehen sich auf Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch die Verschlüsselung ruhender Daten können Sie deren Vertraulichkeit schützen, wodurch das Risiko verringert wird, dass ein nicht autorisierter Benutzer darauf zugreifen kann.

### Abhilfe
<a name="workspaces-2-remediation"></a>

Informationen zum Verschlüsseln eines WorkSpaces Root-Volumes finden Sie unter [Encrypt a WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) im * WorkSpaces Amazon-Administratorhandbuch*.

# Erforderliche Berechtigungen zur Konfiguration von Steuerelementen in Security Hub CSPM
<a name="iam-permissions-controls-standards"></a>

Um Informationen über Sicherheitskontrollen anzuzeigen und Sicherheitskontrollen in Standards zu aktivieren und zu deaktivieren, benötigt die AWS Identity and Access Management (IAM) -Rolle, die Sie für den Zugriff auf AWS Security Hub CSPM verwenden, Berechtigungen, um die folgenden Operationen der Security Hub CSPM-API aufzurufen.

Um die erforderlichen Berechtigungen zu erhalten, können Sie [verwaltete Security Hub CSPM-Richtlinien](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html) verwenden. Alternativ können Sie benutzerdefinierte IAM-Richtlinien so aktualisieren, dass sie auch Berechtigungen für diese Aktionen enthalten.
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)**— Gibt Informationen zu einer Reihe von Sicherheitskontrollen für das Girokonto zurück und AWS-Region. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)**— Gibt Informationen über Sicherheitskontrollen zurück, die für einen bestimmten Standard gelten. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)**— Identifiziert, ob eine Sicherheitskontrolle derzeit in jedem aktivierten Standard im Konto aktiviert oder deaktiviert ist. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)**— Identifiziert für eine Reihe von Sicherheitskontrollen, ob die einzelnen Kontrollen derzeit in einem bestimmten Standard aktiviert oder deaktiviert sind. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)**— Wird verwendet, um eine Sicherheitskontrolle in Standards zu aktivieren, die die Steuerung enthalten, oder um eine Steuerung in Standards zu deaktivieren. Dies ist ein Batch-Ersatz für den bestehenden [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)Vorgang. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)**— Wird verwendet, um eine Reihe von Sicherheitskontrollen in Standards zu aktivieren oder zu deaktivieren, die diese Kontrollen enthalten. Dies ist ein Batch-Ersatz für den bestehenden [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)Vorgang. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)**— Wird verwendet, um eine einzelne Sicherheitskontrolle in Standards zu aktivieren oder zu deaktivieren, die die Steuerung beinhalten 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html)**— Gibt Details zu den angegebenen Sicherheitskontrollen zurück.

Zusätzlich zu den oben genannten Informationen APIs sollten Sie Ihrer IAM-Rolle die Berechtigung `BatchGetControlEvaluations` zum Anrufen hinzufügen. Diese Berechtigung ist erforderlich, um den Aktivierungs- und Konformitätsstatus einer Kontrolle, die Ergebnisse für eine Kontrolle und die Gesamtsicherheitsbewertung für Kontrollen auf der Security Hub CSPM-Konsole einzusehen. Da nur die Konsole aufruft`BatchGetControlEvaluations`, entspricht diese Berechtigung nicht direkt den öffentlich dokumentierten Security Hub CSPM APIs oder AWS CLI Befehlen.

# Steuerelemente in Security Hub CSPM aktivieren
<a name="securityhub-standards-enable-disable-controls"></a>

In AWS Security Hub CSPM ist eine Kontrolle eine Schutzmaßnahme innerhalb eines Sicherheitsstandards, die einem Unternehmen hilft, die Vertraulichkeit, Integrität und Verfügbarkeit seiner Informationen zu schützen. Jedes Security Hub CSPM-Steuerelement bezieht sich auf eine bestimmte AWS Ressource. Wenn Sie ein Steuerelement aktivieren, beginnt Security Hub CSPM mit der Durchführung von Sicherheitsprüfungen für das Steuerelement und generiert Ergebnisse dafür. Security Hub CSPM berücksichtigt bei der Berechnung der Sicherheitsbewertungen auch alle aktivierten Kontrollen.

Sie können sich dafür entscheiden, eine Kontrolle für alle Sicherheitsstandards zu aktivieren, für die sie gilt. Alternativ können Sie den Aktivierungsstatus in verschiedenen Standards unterschiedlich konfigurieren. Wir empfehlen die erstere Option, bei der der Aktivierungsstatus einer Steuerung auf alle aktivierten Standards abgestimmt ist. Anweisungen zur Aktivierung eines Steuerelements für alle Standards, auf die es angewendet wird, finden Sie unter. [Aktivierung einer standardübergreifenden Steuerung](enable-controls-overview.md) Anweisungen zur Aktivierung eines Steuerelements in bestimmten Standards finden Sie unter[Aktivierung einer Steuerung in einem bestimmten Standard](controls-configure.md).

Wenn Sie die regionsübergreifende Aggregation aktivieren und sich bei einer Aggregationsregion anmelden, zeigt die Security Hub CSPM-Konsole Steuerelemente an, die in mindestens einer verknüpften Region verfügbar sind. Wenn ein Steuerelement in einer verknüpften Region verfügbar ist, aber nicht in der Aggregationsregion, können Sie dieses Steuerelement nicht in der Aggregationsregion aktivieren oder deaktivieren.

Sie können Steuerungen in jeder Region aktivieren und deaktivieren, indem Sie die Security Hub CSPM-Konsole, die Security Hub CSPM-API oder verwenden. AWS CLI

[Die Anweisungen zum Aktivieren und Deaktivieren von Steuerungen variieren je nachdem, ob Sie die zentrale Konfiguration verwenden oder nicht.](central-configuration-intro.md) In diesem Thema werden die Unterschiede beschrieben. Die zentrale Konfiguration steht Benutzern zur Verfügung, die Security Hub CSPM und integrieren. AWS Organizations Wir empfehlen, die zentrale Konfiguration zu verwenden, um das Aktivieren und Deaktivieren von Steuerungen in Umgebungen mit mehreren Konten und mehreren Regionen zu vereinfachen. Wenn Sie die zentrale Konfiguration verwenden, können Sie mithilfe von Konfigurationsrichtlinien eine Steuerung über mehrere Konten und Regionen hinweg aktivieren. Wenn Sie die zentrale Konfiguration nicht verwenden, müssen Sie eine Steuerung für jede Region und jedes Konto separat aktivieren.

# Aktivierung einer standardübergreifenden Steuerung
<a name="enable-controls-overview"></a>

Wir empfehlen, eine AWS Security Hub CSPM-Steuerung für alle Standards zu aktivieren, für die die Kontrolle gilt. Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erhalten Sie ein Ergebnis pro Kontrollprüfung, auch wenn eine Kontrolle zu mehr als einem Standard gehört.

## Standardübergreifende Aktivierung in Umgebungen mit mehreren Konten und mehreren Regionen
<a name="enable-controls-all-standards-central-configuration"></a>

[Um eine Sicherheitskontrolle über mehrere AWS-Konten und zu aktivieren AWS-Regionen, müssen Sie mit dem delegierten Security Hub CSPM-Administratorkonto angemeldet sein und die zentrale Konfiguration verwenden.](central-configuration-intro.md)

Bei der zentralen Konfiguration kann der delegierte Administrator Security Hub CSPM-Konfigurationsrichtlinien erstellen, die bestimmte Kontrollen für alle aktivierten Standards ermöglichen. Anschließend können Sie die Konfigurationsrichtlinie bestimmten Konten und Organisationseinheiten (OUs) oder dem Stamm zuordnen. Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.

Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können beispielsweise festlegen, dass alle Steuerelemente in einer Organisationseinheit aktiviert werden, und Sie können festlegen, dass nur Amazon Elastic Compute Cloud (EC2) -Steuerelemente in einer anderen Organisationseinheit aktiviert werden. Der Grad der Granularität hängt von Ihren beabsichtigten Zielen für den Sicherheitsschutz in Ihrem Unternehmen ab. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Standardkontrollen ermöglicht, finden Sie unter[Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md).

**Anmerkung**  
Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um Kontrollen in allen Standards außer dem [Service-Managed Standard](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) zu verwalten:. AWS Control Tower Die Kontrollen für diesen Standard sollten im Service konfiguriert werden. AWS Control Tower 

Wenn Sie möchten, dass einige Konten ihre eigenen Steuerungen konfigurieren und nicht der delegierte Administrator, kann der delegierte Administrator diese Konten als selbstverwaltet kennzeichnen. Selbstverwaltete Konten müssen die Kontrollen in jeder Region separat konfigurieren.

## Standardübergreifende Aktivierung für ein einziges Konto und eine Region
<a name="enable-controls-all-standards"></a>

Wenn Sie keine zentrale Konfiguration verwenden oder ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Steuerungen in mehreren Konten und Regionen zentral zu aktivieren. Sie können jedoch die folgenden Schritte verwenden, um eine Steuerung für ein einzelnes Konto und eine Region zu aktivieren.

------
#### [ Security Hub CSPM console ]

**Um eine standardübergreifende Steuerung in einem Konto und einer Region zu ermöglichen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich die Option **Controls** aus.

1. Wählen Sie die Registerkarte **Deaktiviert**.

1. Wählen Sie die Option neben einem Steuerelement aus.

1. Wählen Sie **Steuerung aktivieren** (diese Option wird nicht für ein Steuerelement angezeigt, das bereits aktiviert ist).

1. Wiederholen Sie den Vorgang in jeder Region, in der Sie das Steuerelement aktivieren möchten.

------
#### [ Security Hub CSPM API ]

**Um eine standardübergreifende Steuerung in einem Konto und einer Region zu ermöglichen**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API auf. Geben Sie eine Sicherheitskontroll-ID an.

   **Beispiel für eine Anfrage:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API auf. Geben Sie den Amazon-Ressourcennamen (ARN) aller Standards an, in denen die Steuerung nicht aktiviert ist. Führen Sie den Befehl aus ARNs, um den Standard abzurufen [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).

1. Stellen Sie den `AssociationStatus` Parameter auf`ENABLED`. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits aktiviert ist, gibt die API eine Antwort mit dem HTTP-Statuscode 200 zurück.

   **Beispiel für eine Anfrage:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }
   ```

1. Wiederholen Sie den Vorgang in jeder Region, in der Sie das Steuerelement aktivieren möchten.

------
#### [ AWS CLI ]

**Um eine standardübergreifende Steuerung in einem Konto und einer Region zu ermöglichen**

1. Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) aus. Geben Sie eine ID für die Sicherheitskontrolle ein.

   ```
   aws securityhub  --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
   ```

1. Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) aus. Geben Sie den Amazon-Ressourcennamen (ARN) aller Standards an, in denen die Steuerung nicht aktiviert ist. Um den Standard zu erhalten ARNs, führen Sie den `describe-standards` Befehl aus.

1. Stellen Sie den `AssociationStatus` Parameter auf`ENABLED`. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits aktiviert ist, gibt der Befehl eine Antwort mit dem HTTP-Statuscode 200 zurück.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
   ```

1. Wiederholen Sie den Vorgang in jeder Region, in der Sie das Steuerelement aktivieren möchten.

------

# Aktivierung einer Steuerung in einem bestimmten Standard
<a name="controls-configure"></a>

Wenn Sie einen Standard in AWS Security Hub CSPM aktivieren, werden alle Kontrollen, die für ihn gelten, automatisch in diesem Standard aktiviert (die Ausnahme bilden serviceverwaltete Standards). Anschließend können Sie bestimmte Kontrollen im Standard deaktivieren und wieder aktivieren. Wir empfehlen jedoch, den Aktivierungsstatus eines Steuerelements auf alle aktivierten Standards abzustimmen. Anweisungen zur Aktivierung einer Steuerung für alle Standards finden Sie unter. [Aktivierung einer standardübergreifenden Steuerung](enable-controls-overview.md)

Die Detailseite für einen Standard enthält die Liste der für den Standard geltenden Kontrollen sowie Informationen darüber, welche Steuerelemente derzeit in diesem Standard aktiviert und deaktiviert sind.

Auf der Seite mit den Standarddetails können Sie auch Steuerelemente in bestimmten Standards aktivieren. Sie müssen Steuerungen in bestimmten Standards in jedem AWS-Konto Land separat aktivieren AWS-Region. Wenn Sie eine Steuerung in bestimmten Standards aktivieren, wirkt sich dies nur auf die Leistungsbilanz und die Region aus.

Um ein Steuerelement in einem Standard zu aktivieren, müssen Sie zunächst mindestens einen Standard aktivieren, für den das Steuerelement gilt. Anweisungen zur Aktivierung eines Standards finden Sie unter[Einen Sicherheitsstandard aktivieren](enable-standards.md). Wenn Sie eine Kontrolle in einem oder mehreren Standards aktivieren, beginnt Security Hub CSPM, Ergebnisse für diese Kontrolle zu generieren. Security Hub CSPM bezieht den [Kontrollstatus](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values) in die Berechnung der Gesamtsicherheitsbewertung und der Standardsicherheitsbewertungen ein. Selbst wenn Sie eine Kontrolle in mehreren Standards aktivieren, erhalten Sie bei jeder standardübergreifenden Sicherheitsüberprüfung ein einziges Ergebnis, wenn Sie die konsolidierten Kontrollergebnisse aktivieren. Weitere Informationen finden Sie unter [Konsolidierte Erkenntnisse zu Kontrollen](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings).

Um eine Kontrolle in einem Standard zu aktivieren, muss die Kontrolle in Ihrer aktuellen Region verfügbar sein. Weitere Informationen finden Sie unter [Verfügbarkeit von Steuerelementen nach Regionen](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support).

Gehen Sie wie folgt vor, um eine Security Hub CSPM-Steuerung in einem *bestimmten* Standard zu aktivieren. Anstatt der folgenden Schritte können Sie auch die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)API-Aktion verwenden, um Kontrollen in einem bestimmten Standard zu aktivieren. Anweisungen zur Aktivierung eines Steuerelements in *allen* Standards finden Sie unter[Standardübergreifende Aktivierung für ein einziges Konto und eine Region](enable-controls-overview.md#enable-controls-all-standards).

------
#### [ Security Hub CSPM console ]

**So aktivieren Sie ein Steuerelement in einem bestimmten Standard**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich **Sicherheitsstandards** aus.

1. Wählen Sie **Ergebnisse anzeigen** für den entsprechenden Standard aus.

1. Wählen Sie ein Steuerelement aus.

1. Wählen Sie **Steuerung aktivieren** (diese Option wird nicht für ein Steuerelement angezeigt, das bereits aktiviert ist). Bestätigen Sie, indem Sie „**Aktivieren**“ wählen.

------
#### [ Security Hub CSPM API ]

**Um ein Steuerelement in einem bestimmten Standard zu aktivieren**

1. Führen Sie `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` einen Standard-ARN aus und geben Sie ihn an, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard abzurufen. Führen Sie den Befehl aus, um einen Standard-ARN zu erhalten [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Diese API gibt eine standardunabhängige Sicherheitskontrolle zurück IDs, keine standardspezifische Steuerung. IDs

   **Beispiel für eine Anfrage:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Führen Sie `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` den Vorgang aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

   **Beispiel für eine Anfrage:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Führen Sie `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Geben Sie den ARN des Standards an, in dem Sie das Steuerelement aktivieren möchten.

1. Stellen Sie den `AssociationStatus` Parameter auf`ENABLED`.

   **Beispiel für eine Anfrage:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }
   ```

------
#### [ AWS CLI ]

**Um ein Steuerelement in einem bestimmten Standard zu aktivieren**

1. Führen Sie den `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` Befehl aus und geben Sie einen Standard-ARN an, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard abzurufen. Führen Sie den Befehl aus, um einen Standard-ARN zu erhalten`describe-standards`. Dieser Befehl gibt eine standardunabhängige Sicherheitskontrolle zurück IDs, keine standardspezifische Steuerung. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Führen Sie den `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` Befehl aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Führen Sie den Befehl `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` aus. Geben Sie den ARN des Standards an, in dem Sie das Steuerelement aktivieren möchten.

1. Stellen Sie den `AssociationStatus` Parameter auf`ENABLED`.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
   ```

------

# Automatisches Aktivieren neuer Steuerungen in aktivierten Standards
<a name="controls-auto-enable"></a>

AWS Security Hub CSPM veröffentlicht regelmäßig neue Kontrollen und fügt sie zu einem oder mehreren Standards hinzu. Sie können wählen, ob neue Kontrollen in Ihren aktivierten Standards automatisch aktiviert werden sollen.

Wir empfehlen, die zentrale Security Hub CSPM-Konfiguration zu verwenden, um neue Sicherheitskontrollen automatisch zu aktivieren. Sie können Konfigurationsrichtlinien erstellen, die eine Liste von Kontrollen enthalten, die standardübergreifend deaktiviert werden sollen. Alle anderen Steuerelemente, einschließlich der neu veröffentlichten, sind standardmäßig aktiviert. Alternativ können Sie Richtlinien erstellen, die eine Liste von Kontrollen enthalten, die standardübergreifend aktiviert werden sollen. Alle anderen Kontrollen, einschließlich der neu veröffentlichten, sind standardmäßig deaktiviert. Weitere Informationen finden Sie unter [Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

Security Hub CSPM aktiviert keine neuen Steuerelemente, wenn sie zu einem Standard hinzugefügt werden, den Sie nicht aktiviert haben.

Die folgenden Anweisungen gelten nur, wenn Sie die zentrale Konfiguration nicht verwenden.

Wählen Sie Ihre bevorzugte Zugriffsmethode und folgen Sie den Schritten, um neue Steuerungen in aktivierten Standards automatisch zu aktivieren.

**Anmerkung**  
Wenn Sie neue Steuerelemente mithilfe der folgenden Anweisungen automatisch aktivieren, können Sie unmittelbar nach der Veröffentlichung mit den Steuerelementen in der Konsole und programmgesteuert interagieren. **Automatisch aktivierte Steuerelemente haben jedoch vorübergehend den Standardstatus Deaktiviert.** Es kann mehrere Tage dauern, bis Security Hub CSPM die Kontrollfreigabe verarbeitet und die Kontrolle in Ihrem Konto als **Aktiviert** kennzeichnet. Während des Verarbeitungszeitraums können Sie eine Steuerung manuell aktivieren oder deaktivieren, und Security Hub CSPM behält diese Bezeichnung bei, unabhängig davon, ob Sie die automatische Steuerung aktiviert haben.

------
#### [ Security Hub CSPM console ]

**Um neue Steuerungen automatisch zu aktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich **Einstellungen** und dann die Registerkarte **Allgemein** aus.

1. Wählen Sie unter **Steuerelemente** die Option **Bearbeiten** aus.

1. Aktivieren Sie die **Option Neue Steuerelemente in aktivierten Standards automatisch aktivieren**.

1. Wählen Sie **Speichern**.

------
#### [ Security Hub CSPM API ]

**Um neue Steuerelemente automatisch zu aktivieren**

1. Führen Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html).

1. Um neue Steuerelemente für aktivierte Standards automatisch zu aktivieren, stellen Sie `AutoEnableControls` auf ein`true`. Wenn Sie neue Steuerelemente nicht automatisch aktivieren möchten, legen Sie den Wert `AutoEnableControls` auf False fest.

------
#### [ AWS CLI ]

**Um neue Steuerelemente automatisch zu aktivieren**

1. Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html) aus.

1. Um neue Steuerelemente für aktivierte Standards automatisch zu aktivieren, geben Sie an`--auto-enable-controls`. Wenn Sie neue Steuerelemente nicht automatisch aktivieren möchten, geben Sie Folgendes an`--no-auto-enable-controls`.

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
   ```

   **Beispiel für einen Befehl**

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls
   ```

------

Wenn Sie neue Steuerelemente nicht automatisch aktivieren, müssen Sie sie manuell aktivieren. Detaillierte Anweisungen finden Sie unter [Steuerelemente in Security Hub CSPM aktivieren](securityhub-standards-enable-disable-controls.md).

# Steuerelemente in Security Hub CSPM deaktivieren
<a name="disable-controls-overview"></a>

Um das Suchgeräusch zu reduzieren, kann es hilfreich sein, Steuerungen zu deaktivieren, die für Ihre Umgebung nicht relevant sind. In AWS Security Hub CSPM können Sie eine Steuerung für alle Sicherheitsstandards oder nur für bestimmte Standards deaktivieren. 

Wenn Sie ein Steuerelement für alle Standards deaktivieren, passiert Folgendes:
+ Sicherheitsüberprüfungen für das Steuerelement werden nicht mehr durchgeführt.
+ Für die Kontrolle werden keine zusätzlichen Ergebnisse generiert.
+ Bestehende Ergebnisse werden für die Kontrolle nicht mehr aktualisiert.
+ Bestehende Ergebnisse für die Kontrolle werden automatisch archiviert, in der Regel innerhalb von 3—5 Tagen nach bestem Wissen und Gewissen.
+ Security Hub CSPM entfernt alle zugehörigen AWS Config Regeln, die es für das Steuerelement erstellt hat.

Wenn Sie ein Steuerelement nur für bestimmte Standards deaktivieren, beendet Security Hub CSPM die Ausführung von Sicherheitsüberprüfungen für das Steuerelement nur für diese Standards. Dadurch wird die Kontrolle auch aus den [Berechnungen der Sicherheitsbewertung](standards-security-score.md) für jeden dieser Standards entfernt. Wenn die Steuerung in anderen Standards aktiviert ist, behält Security Hub CSPM die zugehörige AWS Config Regel bei, sofern zutreffend, und führt weiterhin Sicherheitsprüfungen für die Steuerung für die anderen Standards durch. Security Hub CSPM beinhaltet auch die Kontrolle bei der Berechnung der Sicherheitsbewertung für jeden der anderen Standards, was sich auf Ihre zusammenfassende Sicherheitsbewertung auswirkt.

Wenn Sie einen Standard deaktivieren, werden alle Kontrollen, die für den Standard gelten, automatisch für diesen Standard deaktiviert. Die Steuerelemente sind jedoch möglicherweise weiterhin in anderen Standards aktiviert. Wenn Sie einen Standard deaktivieren, verfolgt Security Hub CSPM nicht, welche Kontrollen für den Standard deaktiviert wurden. Wenn Sie denselben Standard zu einem späteren Zeitpunkt erneut aktivieren, werden daher alle für ihn geltenden Steuerelemente automatisch aktiviert. Hinweise zur Deaktivierung eines Standards finden Sie unter. [Deaktivierung eines Standards](disable-standards.md)

Das Deaktivieren eines Steuerelements ist keine permanente Aktion. Angenommen, Sie deaktivieren ein Steuerelement und aktivieren dann einen Standard, der das Steuerelement enthält. Das Steuerelement wird dann für diesen Standard aktiviert. Wenn Sie einen Standard in Security Hub CSPM aktivieren, werden alle Kontrollen, die für den Standard gelten, automatisch aktiviert. Informationen zur Aktivierung eines Standards finden Sie unter. [Einen Standard aktivieren](enable-standards.md)

**Topics**
+ [

# Ein standardübergreifendes Steuerelement deaktivieren
](disable-controls-across-standards.md)
+ [

# Deaktivierung eines Steuerelements in einem bestimmten Standard
](disable-controls-standard.md)
+ [Vorgeschlagene Steuerelemente zum Deaktivieren](controls-to-disable.md)

# Ein standardübergreifendes Steuerelement deaktivieren
<a name="disable-controls-across-standards"></a>

Wir empfehlen, eine standardübergreifende AWS Security Hub CSPM-Steuerung zu deaktivieren, um die Abstimmung in Ihrem gesamten Unternehmen aufrechtzuerhalten. Wenn Sie ein Steuerelement nur in bestimmten Standards deaktivieren, erhalten Sie weiterhin Ergebnisse für das Steuerelement, sofern es in anderen Standards aktiviert ist.

## Standardübergreifende Deaktivierung in mehreren Konten und Regionen
<a name="disable-controls-all-standards-central-configuration"></a>

[Um eine Sicherheitskontrolle für mehrere AWS-Konten Länder zu deaktivieren AWS-Regionen, müssen Sie die zentrale Konfiguration verwenden.](central-configuration-intro.md)

Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator Security Hub CSPM-Konfigurationsrichtlinien erstellen, die bestimmte Kontrollen für alle aktivierten Standards deaktivieren. Anschließend können Sie die Konfigurationsrichtlinie bestimmten Konten oder dem Stammkonto zuordnen. OUs Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.

Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können beispielsweise festlegen, dass alle AWS CloudTrail Steuerelemente in einer Organisationseinheit deaktiviert werden, und Sie können festlegen, dass alle IAM-Steuerelemente in einer anderen Organisationseinheit deaktiviert werden. Der Grad der Granularität hängt von Ihren beabsichtigten Zielen für den Sicherheitsschutz in Ihrem Unternehmen ab. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Kontrollen standardübergreifend deaktiviert, finden Sie unter. [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md)

**Anmerkung**  
Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um Kontrollen in allen Standards außer dem [Service-Managed](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) Standard zu verwalten:. AWS Control Tower Die Kontrollen für diesen Standard sollten im Service konfiguriert werden. AWS Control Tower 

Wenn Sie möchten, dass einige Konten ihre eigenen Steuerungen konfigurieren und nicht der delegierte Administrator, kann der delegierte Administrator diese Konten als selbstverwaltet kennzeichnen. Selbstverwaltete Konten müssen die Kontrollen in jeder Region separat konfigurieren.

## Standardübergreifende Deaktivierung in einem einzigen Konto und einer Region
<a name="disable-controls-all-standards"></a>

Wenn Sie keine zentrale Konfiguration verwenden oder ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Steuerungen in mehreren Konten und Regionen zentral zu deaktivieren. Sie können jedoch eine Steuerung für ein einzelnes Konto und eine Region deaktivieren.

------
#### [ Security Hub CSPM console ]

**Um ein standardübergreifendes Steuerelement in einem Konto und einer Region zu deaktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich die Option **Controls** aus.

1. Wählen Sie die Option neben einem Steuerelement aus.

1. Wählen Sie **Steuerung deaktivieren**. Diese Option wird nicht für ein Steuerelement angezeigt, das bereits deaktiviert ist.

1. Wählen Sie einen Grund für die Deaktivierung des Steuerelements aus und bestätigen Sie, indem Sie „**Deaktivieren**“ wählen.

1. Wiederholen Sie den Vorgang in jeder Region, in der Sie das Steuerelement deaktivieren möchten.

------
#### [ Security Hub CSPM API ]

**Um ein Steuerelement standardübergreifend in einem Konto und einer Region zu deaktivieren**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API auf. Geben Sie eine Sicherheitskontroll-ID an.

   **Beispiel für eine Anfrage:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API auf. Geben Sie den ARN aller Standards an, in denen das Steuerelement aktiviert ist. Führen Sie den Befehl aus ARNs, um den Standard abzurufen [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).

1. Stellen Sie den `AssociationStatus` Parameter auf`DISABLED`. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, gibt die API eine Antwort mit dem HTTP-Statuscode 200 zurück.

   **Beispiel für eine Anfrage:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. Wiederholen Sie dies in jeder Region, in der Sie das Steuerelement deaktivieren möchten.

------
#### [ AWS CLI ]

**Um ein Steuerelement standardübergreifend in einem Konto und einer Region zu deaktivieren**

1. Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) aus. Geben Sie eine ID für die Sicherheitskontrolle ein.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) aus. Geben Sie den ARN aller Standards an, in denen das Steuerelement aktiviert ist. Führen Sie den `describe-standards` Befehl aus ARNs, um den Standard zu erhalten.

1. Stellen Sie den `AssociationStatus` Parameter auf`DISABLED`. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, gibt der Befehl eine Antwort mit dem HTTP-Statuscode 200 zurück.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. Wiederholen Sie den Vorgang in jeder Region, in der Sie das Steuerelement deaktivieren möchten.

------

# Deaktivierung eines Steuerelements in einem bestimmten Standard
<a name="disable-controls-standard"></a>

Sie können ein Steuerelement nur für bestimmte Sicherheitsstandards deaktivieren, anstatt für alle Standards. Wenn die Kontrolle für andere aktivierte Standards gilt, führt AWS Security Hub CSPM weiterhin Sicherheitsprüfungen für die Kontrolle durch und Sie erhalten weiterhin Ergebnisse für die Kontrolle.

Wir empfehlen, den Aktivierungsstatus einer Kontrolle für alle aktivierten Standards, für die die Kontrolle gilt, aufeinander abzustimmen. Informationen zur Deaktivierung eines Steuerelements für alle Standards, für die es gilt, finden Sie unter. [Ein standardübergreifendes Steuerelement deaktivieren](disable-controls-across-standards.md)

Auf der Seite mit den Standarddetails können Sie auch Steuerelemente in bestimmten Standards deaktivieren. Sie müssen die Steuerelemente in bestimmten Standards in jedem AWS-Konto und separat deaktivieren AWS-Region. Wenn Sie ein Steuerelement in bestimmten Standards deaktivieren, wirkt sich dies nur auf das Girokonto und die Region aus.

Wählen Sie Ihre bevorzugte Methode und gehen Sie wie folgt vor, um ein Steuerelement in einem oder mehreren bestimmten Standards zu deaktivieren.

------
#### [ Security Hub CSPM console ]

**Um ein Steuerelement in einem bestimmten Standard zu deaktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich **Sicherheitsstandards** aus. Wählen Sie **Ergebnisse anzeigen** für den entsprechenden Standard aus.

1. Wählen Sie ein Steuerelement aus.

1. Wählen Sie **Steuerung deaktivieren**. Diese Option wird nicht für ein Steuerelement angezeigt, das bereits deaktiviert ist.

1. Geben Sie einen Grund für die Deaktivierung des Steuerelements an und bestätigen Sie, indem **Sie Deaktivieren** wählen.

------
#### [ Security Hub CSPM API ]

**Um ein Steuerelement in einem bestimmten Standard zu deaktivieren**

1. Führen Sie `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` einen Standard-ARN aus und geben Sie ihn an, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard abzurufen. Führen Sie den Befehl aus, um einen Standard-ARN zu erhalten [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Diese API gibt eine standardunabhängige Sicherheitskontrolle zurück IDs, keine standardspezifische Steuerung. IDs

   **Beispiel für eine Anfrage:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Führen Sie `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` den Vorgang aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

   **Beispiel für eine Anfrage:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Führen Sie `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Geben Sie den ARN des Standards an, in dem Sie das Steuerelement deaktivieren möchten.

1. Stellen Sie den `AssociationStatus` Parameter auf`DISABLED`. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, gibt die API eine Antwort mit dem HTTP-Statuscode 200 zurück.

   **Beispiel für eine Anfrage:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**Um ein Steuerelement in einem bestimmten Standard zu deaktivieren**

1. Führen Sie den `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` Befehl aus und geben Sie einen Standard-ARN an, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard abzurufen. Führen Sie den Befehl aus, um einen Standard-ARN zu erhalten`describe-standards`. Dieser Befehl gibt eine standardunabhängige Sicherheitskontrolle zurück IDs, keine standardspezifische Steuerung. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Führen Sie den `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` Befehl aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Führen Sie den Befehl `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` aus. Geben Sie den ARN des Standards an, in dem Sie das Steuerelement deaktivieren möchten.

1. Stellen Sie den `AssociationStatus` Parameter auf`DISABLED`. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits aktiviert ist, gibt der Befehl eine Antwort mit dem HTTP-Statuscode 200 zurück.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# Vorgeschlagene Steuerelemente zur Deaktivierung in Security Hub CSPM
<a name="controls-to-disable"></a>

Wir empfehlen, einige AWS Security Hub CSPM-Steuerelemente zu deaktivieren, um das Suchgeräusch und die Nutzungskosten zu reduzieren.

## Steuerungen, die globale Ressourcen verwenden
<a name="controls-to-disable-global-resources"></a>

Einige AWS-Services unterstützen globale Ressourcen, was bedeutet, dass Sie von jeder Ressource aus auf die Ressource zugreifen können AWS-Region. Um Kosten zu sparen AWS Config, können Sie die Aufzeichnung globaler Ressourcen in allen Regionen außer einer Region deaktivieren. Nachdem Sie dies getan haben, führt Security Hub CSPM jedoch weiterhin Sicherheitsüberprüfungen in allen Regionen durch, in denen eine Kontrolle aktiviert ist, und berechnet Ihnen Gebühren auf der Grundlage der Anzahl der Prüfungen pro Konto pro Region. Um das Suchrauschen zu reduzieren und die Kosten für Security Hub CSPM zu senken, sollten Sie daher auch Kontrollen deaktivieren, die globale Ressourcen in allen Regionen betreffen, mit Ausnahme der Region, in der globale Ressourcen erfasst werden.

Wenn ein Steuerelement globale Ressourcen umfasst, aber nur in einer Region verfügbar ist, können Sie, wenn Sie es in dieser Region deaktivieren, keine Ergebnisse für die zugrunde liegende Ressource abrufen. In diesem Fall empfehlen wir, das Steuerelement aktiviert zu lassen. Wenn Sie die regionsübergreifende Aggregation verwenden, sollte die Region, in der das Steuerelement verfügbar ist, die Aggregationsregion oder eine der verknüpften Regionen sein. Die folgenden Steuerelemente beziehen sich auf globale Ressourcen, sind jedoch nur in einer einzigen Region verfügbar:
+ **Alle CloudFront Steuerelemente** — Nur in der Region USA Ost (Nord-Virginia) verfügbar
+ **GlobalAccelerator.1** — Nur in der Region USA West (Oregon) verfügbar
+ **Route 53.2** — Nur in der Region USA Ost (Nord-Virginia) verfügbar
+ **WAF.1, WAF.6, WAF.7, WAF.8** — Nur in der Region USA Ost (Nord-Virginia) verfügbar

**Anmerkung**  
Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub CSPM automatisch Kontrollen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren.  
Wenn ein aktiviertes Steuerelement, das globale Ressourcen umfasst, in der Heimatregion nicht unterstützt wird, versucht Security Hub CSPM, das Steuerelement in einer verknüpften Region zu aktivieren, in der das Steuerelement unterstützt wird. Bei zentraler Konfiguration fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion oder einer der verknüpften Regionen nicht verfügbar ist.  
Weitere Informationen zur zentralen Konfiguration finden Sie unter[Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

Für Kontrollen mit einem *periodischen* Zeitplantyp ist es erforderlich, sie in Security Hub CSPM zu deaktivieren, um eine Abrechnung zu verhindern. Die Einstellung des AWS Config Parameters `includeGlobalResourceTypes` auf `false` hat keinen Einfluss auf regelmäßige Security Hub CSPM-Steuerungen.

Die folgenden Security Hub CSPM-Steuerelemente verwenden globale Ressourcen:
+ [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)
+ [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2)
+ [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1)
+ [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)
+ [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)
+ [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)
+ [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)
+ [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)
+ [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7)
+ [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)
+ [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)
+ [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10)
+ [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11)
+ [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12)
+ [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13)
+ [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14)
+ [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)
+ [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)
+ [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17)
+ [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19)
+ [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21)
+ [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)
+ [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24)
+ [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25)
+ [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26)
+ [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1)
+ [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2)
+ [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2)
+ [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7)
+ [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8)

## CloudTrail Steuerelemente zur Protokollierung
<a name="controls-to-disable-cloudtrail-logging"></a>

Das [CloudTrail2.2-Steuerelement](cloudtrail-controls.md#cloudtrail-2) bewertet die Verwendung von AWS Key Management Service (AWS KMS) zur Verschlüsselung von AWS CloudTrail Trail-Logs. Wenn Sie diese Pfade in einem zentralen Protokollierungskonto protokollieren, müssen Sie diese Kontrolle nur für das Konto und den Ort aktivieren, AWS-Region an dem die zentrale Protokollierung stattfindet.

Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, wird der Aktivierungsstatus eines Steuerelements auf die Heimatregion und die verknüpften Regionen verteilt. Sie können ein Steuerelement nicht in einigen Regionen deaktivieren und in anderen aktivieren. In diesem Fall können Sie die Ergebnisse des Steuerelements CloudTrail .2 unterdrücken, um das Suchrauschen zu reduzieren.

## CloudWatch Alarmsteuerungen
<a name="controls-to-disable-cloudwatch-alarms"></a>

Wenn Sie Amazon GuardDuty für die Erkennung von Anomalien anstelle von CloudWatch Amazon-Alarmen bevorzugen, können Sie die folgenden Steuerungen deaktivieren, die sich auf CloudWatch Alarme konzentrieren:
+ [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14)

# Grundlegendes zu Sicherheitsüberprüfungen und Bewertungen in Security Hub CSPM
<a name="securityhub-controls-finding-generation"></a>

Für jedes Steuerelement, das Sie aktivieren, führt AWS Security Hub CSPM Sicherheitsprüfungen durch. Eine Sicherheitsüberprüfung führt zu einem Ergebnis, das Ihnen Aufschluss darüber gibt, ob eine bestimmte AWS Ressource den in der Kontrolle enthaltenen Regeln entspricht.

Einige Prüfungen werden in regelmäßigen Abständen ausgeführt. Andere Prüfungen werden nur ausgeführt, wenn sich der Ressourcenstatus ändert. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

Viele Sicherheitsüberprüfungen verwenden AWS Config verwaltete oder benutzerdefinierte Regeln, um die Konformitätsanforderungen festzulegen. Um diese Prüfungen durchzuführen, müssen Sie die Ressourcenaufzeichnung für die erforderlichen Ressourcen einrichten AWS Config und aktivieren. Weitere Informationen zur Einrichtung finden Sie AWS Config unter[Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md). Eine Liste der AWS Config Ressourcen, die Sie für jeden Standard aufzeichnen müssen, finden Sie unter[Erforderliche AWS Config Ressourcen für Kontrollbefunde](controls-config-resources.md). Andere Steuerelemente verwenden benutzerdefinierte Lambda-Funktionen, die von Security Hub CSPM verwaltet werden und keine Voraussetzungen erfordern.

Während Security Hub CSPM Sicherheitsüberprüfungen durchführt, generiert es Ergebnisse und weist ihnen einen Compliance-Status zu. Weitere Informationen zum Compliance-Status finden Sie unter. [Bewertung des Compliance-Status der CSPM-Ergebnisse von Security Hub](controls-overall-status.md#controls-overall-status-compliance-status)

Security Hub CSPM verwendet den Compliance-Status von Kontrollfeststellungen, um einen allgemeinen Kontrollstatus zu ermitteln. Auf der Grundlage des Kontrollstatus berechnet Security Hub CSPM außerdem eine Sicherheitsbewertung für alle aktivierten Kontrollen und für bestimmte Standards. Weitere Informationen erhalten Sie unter [Bewertung des Konformitätsstatus und des Kontrollstatus](controls-overall-status.md) und [Berechnung von Sicherheitswerten](standards-security-score.md).

Wenn Sie konsolidierte Kontrollergebnisse aktiviert haben, generiert Security Hub CSPM auch dann ein einziges Ergebnis, wenn eine Kontrolle mit mehr als einem Standard verknüpft ist. Weitere Informationen finden Sie unter [Konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [

# Erforderliche AWS Config Ressourcen für Kontrollbefunde
](controls-config-resources.md)
+ [

# Zeitplan für die Ausführung von Sicherheitsprüfungen
](securityhub-standards-schedule.md)
+ [

# Generierung und Aktualisierung von Kontrollbefunden
](controls-findings-create-update.md)
+ [

# Bewertung des Konformitätsstatus und des Kontrollstatus
](controls-overall-status.md)
+ [

# Berechnung von Sicherheitswerten
](standards-security-score.md)

# Erforderliche AWS Config Ressourcen für Kontrollbefunde
<a name="controls-config-resources"></a>

In AWS Security Hub CSPM verwenden einige Steuerelemente dienstbezogene AWS Config Regeln, die Konfigurationsänderungen in Ihren Ressourcen erkennen. AWS Damit Security Hub CSPM genaue Ergebnisse für diese Kontrollen generiert, müssen Sie die Ressourcenaufzeichnung in aktivieren AWS Config und einschalten. AWS Config Informationen darüber, wie Security Hub CSPM AWS Config Regeln verwendet und wie sie aktiviert und konfiguriert werden AWS Config, finden Sie unter. [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md) Ausführliche Informationen zur Ressourcenaufzeichnung finden Sie unter [Arbeiten mit dem Konfigurationsrekorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) im *AWS Config Entwicklerhandbuch*.

Um genaue Kontrollergebnisse zu erhalten, müssen Sie die AWS Config Ressourcenaufzeichnung für aktivierte Steuerelemente mit einem *durch Änderung ausgelösten* Zeitplantyp aktivieren. Für einige Steuerelemente mit einem *periodischen* Zeitplan ist auch eine Ressourcenaufzeichnung erforderlich. Auf dieser Seite sind die erforderlichen Ressourcen für diese Security Hub CSPM-Steuerelemente aufgeführt.

Security Hub CSPM-Steuerungen können auf verwalteten AWS Config Regeln oder benutzerdefinierten Security Hub CSPM-Regeln basieren. Stellen Sie sicher, dass es keine AWS Identity and Access Management (IAM-) Richtlinien oder AWS Organizations verwalteten Richtlinien gibt, die AWS Config verhindern, dass Sie Ihre Ressourcen aufzeichnen dürfen. Security Hub CSPM-Steuerungen werten Ressourcenkonfigurationen direkt aus und berücksichtigen keine AWS Organizations Richtlinien.

**Anmerkung**  
 AWS-Regionen Wenn ein Steuerelement nicht verfügbar ist, ist die entsprechende Ressource in nicht verfügbar. AWS Config Eine Liste dieser Grenzwerte finden Sie unter[Regionale Beschränkungen der Security Hub CSPM-Steuerungen](regions-controls.md).

**Topics**
+ [

## Erforderliche Ressourcen für alle Security Hub CSPM-Steuerelemente
](#all-controls-config-resources)
+ [

## Erforderliche Ressourcen für den Standard AWS Fundational Security Best Practices
](#securityhub-standards-fsbp-config-resources)
+ [

## Erforderliche Ressourcen für den CIS AWS Foundations Benchmark
](#securityhub-standards-cis-config-resources)
+ [

## Erforderliche Ressourcen für den Standard NIST SP 800-53 Revision 5
](#nist-config-resources)
+ [

## Erforderliche Ressourcen für den Standard NIST SP 800-171 Revision 2
](#nist-800-171-config-resources)
+ [

## Erforderliche Ressourcen für PCI DSS v3.2.1
](#securityhub-standards-pci-config-resources)
+ [

## Erforderliche Ressourcen für den AWS Resource Tagging-Standard
](#tagging-config-resources)

## Erforderliche Ressourcen für alle Security Hub CSPM-Steuerelemente
<a name="all-controls-config-resources"></a>

Damit Security Hub CSPM Ergebnisse für durch Änderungen ausgelöste Kontrollen generiert, die aktiviert sind und eine AWS Config Regel verwenden, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config In dieser Tabelle ist auch angegeben, mit welchen Kontrollen ein bestimmter Ressourcentyp bewertet wird. Ein einzelnes Steuerelement kann mehr als einen Ressourcentyp auswerten.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/controls-config-resources.html)

## Erforderliche Ressourcen für den Standard AWS Fundational Security Best Practices
<a name="securityhub-standards-fsbp-config-resources"></a>

Damit Security Hub CSPM die Ergebnisse für durch Änderungen ausgelöste Kontrollen, die den Standard „Best Practices von AWS Foundation Security“ (v.1.0.0) erfüllen, aktiviert sind und eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config Informationen zu diesem Standard finden Sie unter. [AWS Standard für grundlegende Best Practices im Bereich Sicherheit im Security Hub CSPM](fsbp-standard.md)


| AWS-Service | Ressourcentypen | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup`  | 
|  Amazon Cognito  |  `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool`  | 
|  Amazon Connect  |  `AWS::Connect::Instance`  | 
|  AWS DataSync  |  `AWS::DataSync::Task`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  AWS Glue  |  `AWS::Glue::Job`, `AWS::Glue::MLTransform`  | 
|  AWS Identity and Access Management (ICH BIN)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Key`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Amazon-Dienst  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Redshift Serverless  |  `AWS::RedshiftServerless::Workgroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon-S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket`  | 
|  Amazon SageMaker KI  |  `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance`  | 
|  Amazon-Simple-Notification-Service (Amazon-SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon-Simple-Queue-Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Step Functions  |  `AWS::StepFunctions::StateMachine`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 
|  Amazon WorkSpaces  |  `AWS::WorkSpaces::WorkSpace`  | 

## Erforderliche Ressourcen für den CIS AWS Foundations Benchmark
<a name="securityhub-standards-cis-config-resources"></a>

Um Sicherheitsüberprüfungen für aktivierte Kontrollen durchzuführen, die für den Center for Internet Security (CIS) AWS Foundations Benchmark gelten, führt Security Hub CSPM entweder genau die für die Prüfungen vorgeschriebenen Prüfschritte durch oder verwendet spezifische AWS Config verwaltete Regeln. Informationen zu diesem Standard in Security Hub CSPM finden Sie unter. [Benchmark der AWS GUS-Stiftungen im Security Hub CSPM](cis-aws-foundations-benchmark.md)

### Erforderliche Ressourcen für CIS v5.0.0
<a name="cis-5.0-config-resources"></a>

Damit Security Hub CSPM die Ergebnisse für aktivierte, durch Änderungen ausgelöste CIS v5.0.0-Steuerelemente, die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config


| AWS-Service | Ressourcentypen | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::FileSystem`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster`  | 
|  Amazon Simple Storage Service (Amazon-S3)  |  `AWS::S3::Bucket`  | 

### Erforderliche Ressourcen für CIS v3.0.0
<a name="cis-3.0-config-resources"></a>

Damit Security Hub CSPM die Ergebnisse für aktivierte, durch Änderungen ausgelöste CIS v3.0.0-Steuerelemente, die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config


| AWS-Service | Ressourcentypen | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon-S3)  |  `AWS::S3::Bucket`  | 

### Erforderliche Ressourcen für CIS v1.4.0
<a name="cis-1.4-config-resources"></a>

Damit Security Hub CSPM die Ergebnisse für aktivierte, durch Änderungen ausgelöste CIS v1.4.0-Steuerelemente, die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config


| AWS-Service | Ressourcentypen | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon-S3)  |  `AWS::S3::Bucket`  | 

### Erforderliche Ressourcen für CIS v1.2.0
<a name="cis-1.2-config-resources"></a>

Damit Security Hub CSPM die Ergebnisse für aktivierte, durch Änderungen ausgelöste CIS v1.2.0-Steuerelemente, die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config


| AWS-Service | Ressourcentypen | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 

## Erforderliche Ressourcen für den Standard NIST SP 800-53 Revision 5
<a name="nist-config-resources"></a>

Damit Security Hub CSPM die Ergebnisse für durch Änderungen ausgelöste Kontrollen, die für den Standard NIST SP 800-53 Revision 5 gelten, aktiviert sind und eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config Informationen zu diesem Standard finden Sie unter. [NIST SP 800-53 Revision 5 im Security Hub CSPM](standards-reference-nist-800-53.md)


| AWS-Service | Ressourcentypen | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (ICH BIN)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Amazon-Dienst  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon-S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon-Simple-Notification-Service (Amazon-SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon-Simple-Queue-Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker KI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Erforderliche Ressourcen für den Standard NIST SP 800-171 Revision 2
<a name="nist-800-171-config-resources"></a>

Damit Security Hub CSPM die Ergebnisse für durch Änderungen ausgelöste Kontrollen, die für den Standard NIST SP 800-171 Revision 2 gelten, aktiviert sind und eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config Informationen zu diesem Standard finden Sie unter. [NIST SP 800-171 Revision 2 im Security Hub CSPM](standards-reference-nist-800-171.md)


| AWS-Service | Ressourcentypen | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(ICH BIN) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Erforderliche Ressourcen für PCI DSS v3.2.1
<a name="securityhub-standards-pci-config-resources"></a>

Damit Security Hub CSPM die Ergebnisse für Kontrollen, die für Version 3.2.1 des Payment Card Industry Data Security Standard (PCI DSS) gelten, aktiviert sind und eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config Informationen zu diesem Standard finden Sie unter. [PCI DSS im Security Hub CSPM](pci-standard.md)


| AWS-Service | Ressourcentypen | 
| --- | --- | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
|  AWS Identity and Access Management (ICH BIN)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|   OpenSearch Amazon-Dienst  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`  | 
|  Amazon Simple Storage Service (Amazon-S3)  |  `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 

## Erforderliche Ressourcen für den AWS Resource Tagging-Standard
<a name="tagging-config-resources"></a>

Alle Steuerelemente, die für den AWS Resource Tagging-Standard gelten, werden durch Änderungen ausgelöst und verwenden eine AWS Config Regel. Damit Security Hub CSPM die Ergebnisse dieser Kontrollen korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config Informationen zu diesem Standard finden Sie unter. [AWS Standard für Ressourcen-Tagging in Security Hub CSPM](standards-tagging.md)


| AWS-Service | Ressourcentypen | 
| --- | --- | 
| AWS Amplify |  `AWS::Amplify::App`, `AWS::Amplify::Branch`  | 
| Amazon AppFlow  |  `AWS::AppFlow::Flow`  | 
| AWS App Runner  |  `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector`  | 
| AWS AppConfig  |  `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation`  | 
| AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
| Amazon Athena  |  `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup`  | 
| AWS Backup |  `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan`  | 
| AWS Batch  |  `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy`  | 
| AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
| AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
| Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
| AWS CloudTrail  |  `AWS::CloudTrail::Trail`  | 
| AWS CodeArtifact  |  `AWS::CodeArtifact::Repository`  | 
| Amazon CodeGuru  |  `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation`  | 
| Amazon Connect  |  `AWS::CustomerProfiles::ObjectType`  | 
| AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup`  | 
| AWS DataSync |  `AWS::DataSync::Task`  | 
| Amazon Detective  |  `AWS::Detective::Graph`  | 
| Amazon DynamoDB  |  `AWS::DynamoDB::Trail`  | 
| Amazon Elastic Compute Cloud (EC2)  |  `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway`  | 
| Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
| Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::PublicRepository`  | 
| Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
| Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
| Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig`  | 
| AWS Elastic Beanstalk |  `AWS::ElasticBeanstalk::Environment`  | 
| ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
| Amazon EventBridge  |  `AWS::Events::EventBus`  | 
| Amazon Fraud Detector  |  `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable`  | 
| AWS Global Accelerator  |  `AWS::GlobalAccelerator::Accelerator`  | 
| AWS Glue  |  `AWS::Glue::Job`  | 
| Amazon GuardDuty  |  `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet`  | 
| AWS Identity and Access Management (ICH BIN)  |  `AWS::IAM::Role`, `AWS::IAM::User`  | 
| AWS Identity and Access Management Access Analyzer (IAM-Zugriffsanalysator)  |  `AWS::AccessAnalyzer::Analyzer`  | 
| AWS IoT  |  `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile`  | 
| AWS IoT Events  |  `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input`  | 
| AWS IoT SiteWise  |  `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project`  | 
| AWS IoT TwinMaker  |  `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace`  | 
| AWS IoT Drahtlos  |  `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile`  | 
| Amazon Interactive Video Service (Amazon IVS)  |  `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration`  | 
| Amazon Keyspaces (für Apache Cassandra)  |  `AWS::Cassandra::Keyspace`  | 
| Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
| AWS Lambda  |  `AWS::Lambda::Function`  | 
| Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
| AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`  | 
|  OpenSearch Amazon-Dienst |  `AWS::OpenSearch::Domain`  | 
| AWS Private Certificate Authority |  `AWS::ACMPCA::CertificateAuthority`  | 
| Amazon Relational Database Service  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup`  | 
| Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription`  | 
| Amazon Route 53  |  `AWS::Route53::HealthCheck`  | 
| Amazon SageMaker KI |  `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image`  | 
| AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
| Amazon Simple Email Service (Amazon SES)  |  `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList`  | 
| Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
| Amazon-Simple-Queue-Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| AWS Step Functions  |  `AWS::StepFunctions::Activity`  | 
| AWS Systems Manager (SSM) |  `AWS::SSM::Document`  | 
| AWS Transfer Family |  `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow`  | 

# Zeitplan für die Ausführung von Sicherheitsprüfungen
<a name="securityhub-standards-schedule"></a>

Nachdem Sie einen Sicherheitsstandard aktiviert haben, beginnt AWS Security Hub CSPM, alle Prüfungen innerhalb von zwei Stunden durchzuführen. Die meisten Prüfungen werden innerhalb von 25 Minuten ausgeführt. Security Hub CSPM führt Prüfungen durch, indem es die Regel auswertet, die einer Kontrolle zugrunde liegt. Bis ein Steuerelement seinen ersten Prüflauf abgeschlossen hat, lautet sein Status **Keine** Daten.

Wenn Sie einen neuen Standard aktivieren, kann es bis zu 24 Stunden dauern, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die dieselbe zugrunde liegende AWS Config serviceverknüpfte Regel verwenden wie aktivierte Steuerelemente aus anderen aktivierten Standards. Wenn Sie beispielsweise das [Lambda.1-Steuerelement](lambda-controls.md#lambda-1) im Standard AWS Foundation Security Best Practices (FSBP) aktivieren, erstellt Security Hub CSPM die serviceverknüpfte Regel und generiert Ergebnisse in der Regel innerhalb von Minuten. Wenn Sie danach das Lambda.1-Steuerelement im Payment Card Industry Data Security Standard (PCI DSS) aktivieren, kann es bis zu 24 Stunden dauern, bis Security Hub CSPM Ergebnisse für die Kontrolle generiert, da es dieselbe serviceverknüpfte Regel verwendet.

Nach der ersten Überprüfung kann der Zeitplan für jede Kontrolle entweder periodisch oder durch Änderungen ausgelöst werden. Für ein Steuerelement, das auf einer verwalteten AWS Config Regel basiert, enthält die Beschreibung des Steuerelements einen Link zur Regelbeschreibung im *AWS Config Entwicklerhandbuch*. Diese Beschreibung gibt an, ob es sich bei der Regel um eine Änderung handelt oder ob es sich um eine periodische Regel handelt 

## Regelmäßige Sicherheitsüberprüfungen
<a name="periodic-checks"></a>

Regelmäßige Sicherheitsüberprüfungen werden automatisch innerhalb von 12 oder 24 Stunden nach der letzten Ausführung ausgeführt. Security Hub CSPM bestimmt die Periodizität, und Sie können sie nicht ändern. Bei regelmäßigen Kontrollen erfolgt die Bewertung zu dem Zeitpunkt, zu dem die Prüfung ausgeführt wird.

Wenn Sie den Workflow-Status eines periodischen Kontrollbefundes aktualisieren und dann bei der nächsten Überprüfung der Konformitätsstatus des Ergebnisses unverändert bleibt, bleibt der Workflow-Status in seinem geänderten Status. Wenn Sie beispielsweise eine fehlerhafte Suche für das [KMS.4-Steuerelement](kms-controls.md#kms-4) haben (die *AWS KMS key Rotation sollte aktiviert sein*) und das Ergebnis anschließend korrigieren, ändert Security Hub CSPM den Workflow-Status von zu. `NEW` `RESOLVED` Wenn Sie die KMS-Schlüsselrotation vor der nächsten regelmäßigen Überprüfung deaktivieren, bleibt der Workflow-Status des Ergebnisses erhalten. `RESOLVED`

Prüfungen, die benutzerdefinierte Lambda-Funktionen von Security Hub CSPM verwenden, werden regelmäßig durchgeführt.

## Durch Änderungen ausgelöste Sicherheitsüberprüfungen
<a name="change-triggered-checks"></a>

Durch Änderungen ausgelöste Sicherheitsüberprüfungen werden ausgeführt, wenn sich der Status der zugehörigen Ressource ändert. AWS Config ermöglicht es Ihnen, zwischen der *kontinuierlichen Aufzeichnung* von Änderungen des Ressourcenstatus und der *täglichen* Aufzeichnung zu wählen. Wenn Sie die tägliche Aufzeichnung wählen AWS Config , werden die Ressourcenkonfigurationsdaten am Ende jedes 24-Stunden-Zeitraums bereitgestellt, wenn sich der Ressourcenstatus ändert. Wenn es keine Änderungen gibt, werden keine Daten geliefert. Dies kann die Generierung von Security Hub CSPM-Ergebnissen verzögern, bis ein Zeitraum von 24 Stunden abgeschlossen ist. Unabhängig von Ihrem gewählten Aufzeichnungszeitraum überprüft Security Hub CSPM alle 18 Stunden, ob keine Ressourcen-Updates von verpasst AWS Config wurden.

Im Allgemeinen verwendet Security Hub CSPM, wann immer dies möglich ist, durch Änderungen ausgelöste Regeln. Damit eine Ressource eine durch Änderungen ausgelöste Regel verwenden kann, muss sie Konfigurationselemente unterstützen. AWS Config 

# Generierung und Aktualisierung von Kontrollbefunden
<a name="controls-findings-create-update"></a>

AWS Security Hub CSPM generiert und aktualisiert Kontrollergebnisse, wenn es Prüfungen anhand von Sicherheitskontrollen durchführt. Die Kontrollergebnisse verwenden das [AWS Security Finding Format (ASFF)](securityhub-findings-format.md).

Security Hub CSPM berechnet normalerweise Gebühren für jede Sicherheitsüberprüfung für eine Kontrolle. Wenn jedoch mehrere Kontrollen dieselbe AWS Config Regel verwenden, berechnet Security Hub CSPM für jede Überprüfung anhand der Regel nur einmal eine Gebühr. Die AWS Config `iam-password-policy` Regel wird beispielsweise von mehreren Kontrollen im CIS AWS Foundations Benchmark-Standard und im Standard AWS Foundational Security Best Practices verwendet. Jedes Mal, wenn Security Hub CSPM eine Prüfung anhand dieser Regel durchführt, generiert es ein separates Kontrollergebnis für jede zugehörige Kontrolle, berechnet jedoch nur einmal für die Prüfung eine Gebühr.

Wenn die Größe eines Kontrollergebnisses das Maximum von 240 KB überschreitet, entfernt Security Hub CSPM das `Resource.Details` Objekt aus dem Befund. Bei Kontrollen, die durch AWS Config Ressourcen unterstützt werden, können Sie die Ressourcendetails mithilfe der AWS Config Konsole überprüfen.

**Topics**
+ [

## Konsolidierte Kontrollergebnisse
](#consolidated-control-findings)
+ [

## Generierung, Aktualisierung und Archivierung von Kontrollbefunden
](#securityhub-standards-results-updating)
+ [

## Automatisierung und Unterdrückung von Kontrollbefunden
](#automation-control-findings)
+ [

## Einzelheiten zur Einhaltung der Kontrollbestimmungen
](#control-findings-asff-compliance)
+ [

## ProductFields Einzelheiten zu den Kontrollbefunden
](#control-findings-asff-productfields)
+ [

## Schweregrade der Kontrollbefunde
](#control-findings-severity)

## Konsolidierte Kontrollergebnisse
<a name="consolidated-control-findings"></a>

Wenn konsolidierte Kontrollergebnisse für Ihr Konto aktiviert sind, generiert Security Hub CSPM für jede Sicherheitsüberprüfung einer Kontrolle ein einzelnes Ergebnis oder ein einzelnes Befundupdate, auch wenn eine Kontrolle für mehrere aktivierte Standards gilt. Eine Liste der Kontrollen und der Standards, für die sie gelten, finden Sie unter. [Kontrollreferenz für Security Hub CSPM](securityhub-controls-reference.md) Wir empfehlen, konsolidierte Kontrollergebnisse zu aktivieren, um das Störgeräusch zu reduzieren.

Wenn Sie Security Hub CSPM AWS-Konto vor dem 23. Februar 2023 aktiviert haben, können Sie konsolidierte Kontrollergebnisse aktivieren, indem Sie den Anweisungen weiter unten in diesem Abschnitt folgen. Wenn Sie Security Hub CSPM am oder nach dem 23. Februar 2023 aktivieren, werden die konsolidierten Kontrollergebnisse automatisch für Ihr Konto aktiviert.

Wenn Sie die [Security Hub CSPM-Integration mit](securityhub-accounts-orgs.md) Mitgliedskonten verwenden AWS Organizations oder Mitgliedskonten über einen [manuellen Einladungsprozess](account-management-manual.md) eingeladen haben, ist Consolidated Control Findings nur dann für Mitgliedskonten aktiviert, wenn sie für das Administratorkonto aktiviert ist. Wenn die Funktion für das Administratorkonto deaktiviert ist, ist sie auch für Mitgliedskonten deaktiviert. Dieses Verhalten gilt für neue und bestehende Mitgliedskonten. Wenn der Administrator die [zentrale Konfiguration](central-configuration-intro.md) verwendet, um Security Hub CSPM für mehrere Konten zu verwalten, kann er außerdem keine zentralen Konfigurationsrichtlinien verwenden, um konsolidierte Kontrollergebnisse für die Konten zu aktivieren oder zu deaktivieren.

Wenn Sie konsolidierte Kontrollergebnisse für Ihr Konto deaktivieren, generiert oder aktualisiert Security Hub CSPM ein separates Kontrollergebnis für jeden aktivierten Standard, der eine Kontrolle enthält. Wenn Sie beispielsweise vier Standards aktivieren, die sich eine Kontrolle teilen, erhalten Sie nach einer Sicherheitsüberprüfung für die Kontrolle vier separate Ergebnisse. Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erhalten Sie nur ein Ergebnis.

Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erstellt Security Hub CSPM neue standardunabhängige Ergebnisse und archiviert die ursprünglichen standardbasierten Ergebnisse. Einige Felder und Werte für Kontrollergebnisse werden sich ändern, was sich auf Ihre bestehenden Workflows auswirken kann. Informationen zu diesen Änderungen finden Sie unter[Konsolidierte Kontrollergebnisse — ASFF-Änderungen](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings). Die Aktivierung konsolidierter Kontrollergebnisse kann sich auch auf die Ergebnisse auswirken, die integrierte Drittanbieterprodukte von Security Hub CSPM erhalten. Wenn Sie die Lösung [Automated Security Response auf AWS Version 2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/) verwenden, beachten Sie, dass sie konsolidierte Kontrollergebnisse unterstützt. 

Um Consolidated Control Findings zu aktivieren oder zu deaktivieren, müssen Sie mit einem Administratorkonto oder einem eigenständigen Konto angemeldet sein.

**Anmerkung**  
Nachdem Sie die konsolidierten Kontrollergebnisse aktiviert haben, kann es bis zu 24 Stunden dauern, bis Security Hub CSPM neue konsolidierte Ergebnisse generiert und die vorhandenen standardbasierten Ergebnisse archiviert hat. Ebenso kann es nach der Deaktivierung konsolidierter Kontrollergebnisse bis zu 24 Stunden dauern, bis Security Hub CSPM neue standardbasierte Ergebnisse generiert und die vorhandenen konsolidierten Ergebnisse archiviert hat. In diesen Zeiten kann es sein, dass Sie in Ihrem Konto eine Mischung aus standardunabhängigen und standardbasierten Ergebnissen sehen.

------
#### [ Security Hub CSPM console ]

**Um konsolidierte Kontrollergebnisse zu aktivieren oder zu deaktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Klicken Sie im Navigationsbereich unter **Settings** auf **General**.

1. **Wählen Sie im Bereich **Steuerelemente** die Option Bearbeiten aus.**

1. Verwenden Sie den Schalter **Konsolidierte Kontrollergebnisse**, um konsolidierte Kontrollergebnisse zu aktivieren oder zu deaktivieren.

1. Wählen Sie **Speichern**.

------
#### [ Security Hub CSPM API ]

Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)Betrieb der Security Hub CSPM-API, um konsolidierte Kontrollergebnisse programmgesteuert zu aktivieren oder zu deaktivieren. Oder, wenn Sie den verwenden, führen Sie den Befehl aus AWS CLI. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html) 

Geben Sie für den `control-finding-generator` Parameter `SECURITY_CONTROL` an, ob konsolidierte Kontrollergebnisse aktiviert werden sollen. Geben Sie an, um konsolidierte Kontrollergebnisse zu deaktivieren`STANDARD_CONTROL`.

Mit dem folgenden AWS CLI Befehl werden beispielsweise konsolidierte Kontrollbefunde aktiviert.

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```

Mit dem folgenden AWS CLI Befehl werden konsolidierte Kontrollergebnisse deaktiviert.

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```

------

## Generierung, Aktualisierung und Archivierung von Kontrollbefunden
<a name="securityhub-standards-results-updating"></a>

[Security Hub CSPM führt Sicherheitsüberprüfungen nach einem Zeitplan durch.](securityhub-standards-schedule.md) Wenn Security Hub CSPM zum ersten Mal eine Sicherheitsüberprüfung für ein Steuerelement durchführt, generiert es für jede AWS Ressource, die das Steuerelement überprüft, ein neues Ergebnis. Jedes Mal, wenn Security Hub CSPM anschließend eine Sicherheitsüberprüfung für die Kontrolle durchführt, aktualisiert es die vorhandenen Ergebnisse, um die Ergebnisse der Prüfung zu melden. Das bedeutet, dass Sie anhand der Daten einzelner Ergebnisse die Konformität bestimmter Ressourcen anhand bestimmter Kontrollen nachverfolgen können.

Wenn sich beispielsweise der Konformitätsstatus einer Ressource `PASSED` für eine bestimmte Kontrolle von `FAILED` zu ändert, generiert Security Hub CSPM kein neues Ergebnis. Stattdessen aktualisiert Security Hub CSPM die vorhandenen Ergebnisse für das Steuerelement und die Ressource. In diesem Ergebnis ändert Security Hub CSPM den Wert für das Feld Compliance-Status (`Compliance.Status`) auf. `PASSED` Security Hub CSPM aktualisiert auch die Werte für zusätzliche Felder, um die Ergebnisse der Prüfung widerzuspiegeln, z. B. den Schweregrad, den Workflow-Status und Zeitstempel, die angeben, wann Security Hub CSPM die Prüfung zuletzt ausgeführt und das Ergebnis aktualisiert hat.

Bei der Meldung von Änderungen des Compliance-Status aktualisiert Security Hub CSPM möglicherweise eines der folgenden Felder in einem Kontrollergebnis:
+ `Compliance.Status`— Der neue Konformitätsstatus der Ressource für die angegebene Kontrolle.
+ `FindingProviderFields.Severity.Label`— Die neue qualitative Darstellung des Schweregrads des Befundes, z. B. `LOW``MEDIUM`, oder`HIGH`.
+ `FindingProviderFields.Severity.Original`— Die neue quantitative Darstellung des Schweregrads des Fehlers, z. B. `0` für eine konforme Ressource.
+ `FirstObservedAt`— Wann sich der Konformitätsstatus der Ressource zuletzt geändert hat.
+ `LastObservedAt`— Wann Security Hub CSPM die Sicherheitsüberprüfung für das angegebene Steuerelement und die angegebene Ressource zuletzt ausgeführt hat.
+ `ProcessedAt`— Wann Security Hub CSPM zuletzt mit der Verarbeitung des Ergebnisses begann.
+ `ProductFields.PreviousComplianceStatus`— Der vorherige Konformitätsstatus (`Compliance.Status`) der Ressource für die angegebene Kontrolle.
+ `UpdatedAt`— Wann Security Hub CSPM das Ergebnis zuletzt aktualisiert hat.
+ `Workflow.Status`— Der Stand der Untersuchung des Ergebnisses, basierend auf dem neuen Konformitätsstatus der Ressource für die angegebene Kontrolle.

Ob Security Hub CSPM ein Feld aktualisiert, hängt in erster Linie von den Ergebnissen der letzten Sicherheitsprüfung für die entsprechende Kontrolle und Ressource ab. Wenn sich beispielsweise der Konformitätsstatus einer Ressource `FAILED` für eine bestimmte Kontrolle von `PASSED` zu ändert, ändert Security Hub CSPM den Workflow-Status des Ergebnisses auf. `NEW` Um Aktualisierungen einzelner Ergebnisse nachzuverfolgen, können Sie auf die Historie eines Befundes zurückgreifen. Einzelheiten zu einzelnen Feldern in Ergebnissen finden Sie unter [AWS Security Finding Format (ASFF)](securityhub-findings-format.md).

In bestimmten Fällen generiert Security Hub CSPM neue Ergebnisse für nachfolgende Prüfungen durch eine Kontrolle, anstatt bestehende Ergebnisse zu aktualisieren. Dies kann der Fall sein, wenn ein Problem mit der AWS Config Regel vorliegt, die ein Steuerelement unterstützt. In diesem Fall archiviert Security Hub CSPM den vorhandenen Befund und generiert für jede Prüfung einen neuen Befund. In den neuen Ergebnissen lautet der Compliance-Status `NOT_AVAILABLE` und der Datensatzstatus lautet. `ARCHIVED` Nachdem Sie das Problem mit der AWS Config Regel behoben haben, generiert Security Hub CSPM neue Ergebnisse und beginnt, diese zu aktualisieren, um nachfolgende Änderungen am Compliance-Status einzelner Ressourcen nachzuverfolgen.

Security Hub CSPM generiert und aktualisiert nicht nur Kontrollergebnisse, sondern archiviert auch automatisch Kontrollergebnisse, die bestimmte Kriterien erfüllen. Security Hub CSPM archiviert einen Befund, wenn das Steuerelement deaktiviert ist, die angegebene Ressource gelöscht wurde oder die angegebene Ressource nicht mehr existiert. Eine Ressource ist möglicherweise nicht mehr vorhanden, da der zugehörige Dienst nicht mehr verwendet wird. Insbesondere archiviert Security Hub CSPM automatisch ein Kontrollergebnis, wenn das Ergebnis eines der folgenden Kriterien erfüllt:
+ Das Ergebnis wurde seit 3‐5 Tagen nicht aktualisiert. Beachten Sie, dass die Archivierung auf der Grundlage dieses Zeitrahmens nach bestem Wissen und Gewissen erfolgt und nicht garantiert werden kann.
+ `NOT_APPLICABLE`Bei der zugehörigen AWS Config Bewertung wurde der Konformitätsstatus der angegebenen Ressource ermittelt.

Um festzustellen, ob ein Ergebnis archiviert ist, können Sie im Feld Datensatzstatus (`RecordState`) des Ergebnisses nachschlagen. Wenn ein Ergebnis archiviert ist, lautet der Wert für dieses Feld`ARCHIVED`.

Security Hub CSPM speichert archivierte Kontrollergebnisse 30 Tage lang. Nach 30 Tagen laufen die Ergebnisse ab und Security Hub CSPM löscht sie dauerhaft. Um festzustellen, ob ein archiviertes Kontrollergebnis abgelaufen ist, stützt Security Hub CSPM seine Berechnung auf den Wert für das `UpdatedAt` Feld des Ergebnisses.

Um archivierte Kontrollergebnisse länger als 30 Tage zu speichern, können Sie die Ergebnisse in einen S3-Bucket exportieren. Sie können dies tun, indem Sie eine benutzerdefinierte Aktion mit einer EventBridge Amazon-Regel verwenden. Weitere Informationen finden Sie unter [Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen](securityhub-cloudwatch-events.md).

**Anmerkung**  
Vor dem 3. Juli 2025 generierte und aktualisierte Security Hub CSPM Kontrollergebnisse unterschiedlich, wenn sich der Compliance-Status einer Ressource für eine Kontrolle änderte. Zuvor hat Security Hub CSPM einen neuen Kontrollbefund erstellt und den vorhandenen Befund für eine Ressource archiviert. Daher haben Sie möglicherweise mehrere archivierte Ergebnisse für eine bestimmte Kontrolle und Ressource, bis diese Ergebnisse ablaufen (nach 30 Tagen).

## Automatisierung und Unterdrückung von Kontrollbefunden
<a name="automation-control-findings"></a>

Sie können die CSPM-Automatisierungsregeln von Security Hub verwenden, um bestimmte Kontrollergebnisse zu aktualisieren oder zu unterdrücken. Wenn Sie ein Ergebnis unterdrücken, können Sie weiterhin darauf zugreifen. Eine Unterdrückung deutet jedoch darauf hin, dass Sie der Meinung sind, dass keine Maßnahmen erforderlich sind, um das Ergebnis zu beheben.

Durch das Unterdrücken von Ergebnissen können Sie das Suchrauschen reduzieren. Sie können beispielsweise Kontrollergebnisse unterdrücken, die in Testkonten generiert wurden. Oder Sie könnten Ergebnisse unterdrücken, die sich auf bestimmte Ressourcen beziehen. Weitere Informationen zur automatischen Aktualisierung oder Unterdrückung von Ergebnissen finden Sie unter[Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md). 

Automatisierungsregeln eignen sich, wenn Sie bestimmte Kontrollergebnisse aktualisieren oder unterdrücken möchten. Wenn ein Steuerelement jedoch für Ihre Organisation oder Ihren Anwendungsfall nicht relevant ist, empfehlen wir, [das Steuerelement zu deaktivieren](disable-controls-overview.md). Wenn Sie eine Kontrolle deaktivieren, führt Security Hub CSPM keine Sicherheitsprüfungen für sie durch und es werden Ihnen keine Gebühren dafür berechnet.

## Einzelheiten zur Einhaltung der Kontrollbestimmungen
<a name="control-findings-asff-compliance"></a>

Bei Ergebnissen, die durch Sicherheitsprüfungen für Kontrollen generiert wurden, enthalten das [Compliance-Objekt](asff-top-level-attributes.md#asff-compliance) und die Felder im AWS Security Finding Format (ASFF) Konformitätsdetails für einzelne Ressourcen, die von einer Kontrolle überprüft wurden. Dazu gehören die folgenden Informationen:
+ `AssociatedStandards`— Die aktivierten Standards, in denen das Steuerelement aktiviert ist.
+ `RelatedRequirements`— Die entsprechenden Anforderungen für die Steuerung in allen aktivierten Standards. Diese Anforderungen ergeben sich aus Sicherheits-Frameworks von Drittanbietern für die Steuerung, wie dem Payment Card Industry Data Security Standard (PCI DSS) oder dem Standard NIST SP 800-171 Revision 2.
+ `SecurityControlId`— Die Kennung für die Steuerung aller Standards, die Security Hub CSPM unterstützt.
+ `Status`— Das Ergebnis der letzten Überprüfung, die Security Hub CSPM für die Kontrolle durchgeführt hat. Die Ergebnisse früherer Prüfungen werden in der Befundhistorie gespeichert.
+ `StatusReasons`— Ein Array, das die Gründe für den durch das `Status` Feld angegebenen Wert auflistet. Für jeden Grund enthält dies einen Ursachencode und eine Beschreibung.

In der folgenden Tabelle sind Ursachencodes und Beschreibungen aufgeführt, die ein Ergebnis in der `StatusReasons` Matrix enthalten könnte. Die Behebungsschritte hängen davon ab, welche Kontrolle ein Ergebnis mit einem bestimmten Ursachencode generiert hat. Die Anleitungen zur Problembehebung für eine Kontrolle finden Sie in der. [Kontrollreferenz für Security Hub CSPM](securityhub-controls-reference.md)


| Ursachencode | Compliance status (Compliance-Status) | Description | 
| --- | --- | --- | 
|  `CLOUDTRAIL_METRIC_FILTER_NOT_VALID`  |  `FAILED`  |  Für den CloudTrail Trail mit mehreren Regionen gibt es keinen gültigen metrischen Filter.  | 
|  `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`  |  `FAILED`  |  Metrische Filter sind für den Trail mit mehreren Regionen CloudTrail nicht vorhanden.  | 
|  `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`  |  `FAILED`  |  Das Konto verfügt nicht über einen CloudTrail Trail für mehrere Regionen mit der erforderlichen Konfiguration.  | 
|  `CLOUDTRAIL_REGION_INVAILD`  |  `WARNING`  |   CloudTrail Wanderwege mit mehreren Regionen befinden sich nicht in der aktuellen Region.  | 
|  `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`  |  `FAILED`  |  Es sind keine gültigen Alarmaktionen vorhanden.  | 
|  `CLOUDWATCH_ALARMS_NOT_PRESENT`  |  `FAILED`  |  CloudWatch Alarme sind im Konto nicht vorhanden.  | 
|  `CONFIG_ACCESS_DENIED`  |  `NOT_AVAILABLE` AWS Config Status ist `ConfigError`  |  AWS Config Zugriff verweigert. Stellen Sie sicher, dass es aktiviert AWS Config ist und dass ihm ausreichende Berechtigungen erteilt wurden.  | 
|  `CONFIG_EVALUATIONS_EMPTY`  |  `PASSED`  |  AWS Config hat Ihre Ressourcen anhand der Regel bewertet. Die Regel galt nicht für die AWS Ressourcen in ihrem Geltungsbereich, die angegebenen Ressourcen wurden gelöscht oder die Bewertungsergebnisse wurden gelöscht.  | 
|  `CONFIG_RECORDER_CUSTOM_ROLE`  |  `FAILED`(für Config.1)  |  Der AWS Config Rekorder verwendet eine benutzerdefinierte IAM-Rolle anstelle der AWS Config serviceverknüpften Rolle, und der `includeConfigServiceLinkedRoleCheck` benutzerdefinierte Parameter für Config.1 ist nicht auf festgelegt. `false`  | 
|  `CONFIG_RECORDER_DISABLED`  |  `FAILED`(für Config.1)  |  AWS Config ist nicht aktiviert, wenn der Konfigurationsrekorder eingeschaltet ist.  | 
|  `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`  |  `FAILED`(für Config.1)  |  AWS Config zeichnet nicht alle Ressourcentypen auf, die den aktivierten Security Hub CSPM-Steuerelementen entsprechen. Schalten Sie die Aufzeichnung für die folgenden Ressourcen ein:. *Resources that aren't being recorded*  | 
|  `CONFIG_RETURNS_NOT_APPLICABLE`  |  `NOT_AVAILABLE`  |  Der Konformitätsstatus ist darauf `NOT_AVAILABLE` zurückzuführen, dass der Status **Nicht zutreffend AWS Config zurückgegeben wurde**. AWS Config gibt keinen Grund für den Status an. Hier sind einige mögliche Gründe für den Status „**Nicht zutreffend**“: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_EVALUATION_ERROR`  |  `NOT_AVAILABLE` AWS Config Der Status ist `ConfigError`  |  Dieser Ursachencode wird für verschiedene Arten von Auswertungsfehlern verwendet. Die Beschreibung enthält die spezifischen Ursacheninformationen. Die Art des Fehlers kann einer der folgenden sein: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_NOT_FOUND`  |  `NOT_AVAILABLE` AWS Config Status ist `ConfigError`  |  Die AWS Config Regel wird gerade erstellt.  | 
|  `INTERNAL_SERVICE_ERROR`  |  `NOT_AVAILABLE`  |  Es ist ein unbekannter Fehler aufgetreten.  | 
|  `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`  |  `FAILED`  |  Security Hub CSPM kann keine Überprüfung anhand einer benutzerdefinierten Lambda-Laufzeit durchführen.  | 
|  `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  Das Ergebnis befindet sich in einem `WARNING` Status, weil sich der S3-Bucket, der dieser Regel zugeordnet ist, in einer anderen Region oder einem anderen Konto befindet. Diese Regel unterstützt keine regionsübergreifenden oder kontenübergreifenden Prüfungen. Es wird empfohlen, diese Kontrolle in dieser Region oder diesem Konto zu deaktivieren. Führen Sie sie nur in der Region oder dem Konto aus, in dem sich die Ressource befindet.  | 
|  `SNS_SUBSCRIPTION_NOT_PRESENT`  |  `FAILED`  |  Für die CloudWatch Logs-Metrikfilter gibt es kein gültiges Amazon SNS SNS-Abonnement.  | 
|  `SNS_TOPIC_CROSS_ACCOUNT`  |  `WARNING`  |  Das Ergebnis befindet sich in einem `WARNING` Zustand. Das mit dieser Regel verknüpfte SNS-Thema gehört einem anderen Konto. Das aktuelle Konto kann die Abonnementinformationen nicht abrufen. Das Konto, dem das SNS-Thema gehört, muss dem aktuellen Konto die `sns:ListSubscriptionsByTopic` Berechtigung für das SNS-Thema gewähren.  | 
|  `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  Das Ergebnis weist einen `WARNING` Status auf, da sich das mit dieser Regel verknüpfte SNS-Thema in einer anderen Region oder einem anderen Konto befindet. Diese Regel unterstützt keine regionsübergreifenden oder kontenübergreifenden Prüfungen. Es wird empfohlen, diese Kontrolle in dieser Region oder diesem Konto zu deaktivieren. Führen Sie sie nur in der Region oder dem Konto aus, in dem sich die Ressource befindet.  | 
|  `SNS_TOPIC_INVALID`  |  `FAILED`  |  Das mit dieser Regel verknüpfte SNS-Thema ist ungültig.  | 
|  `THROTTLING_ERROR`  |  `NOT_AVAILABLE`  |  Die entsprechende API-Operation hat die zulässige Rate überschritten.  | 

## ProductFields Einzelheiten zu den Kontrollbefunden
<a name="control-findings-asff-productfields"></a>

Bei Ergebnissen, die bei Sicherheitsprüfungen für Kontrollen generiert wurden, kann das [ProductFields](asff-top-level-attributes.md#asff-productfields)Attribut im AWS Security Finding Format (ASFF) die folgenden Felder enthalten.

`ArchivalReasons:0/Description`  
Beschreibt, warum Security Hub CSPM einen Befund archiviert hat.  
Security Hub CSPM archiviert beispielsweise vorhandene Ergebnisse, wenn Sie eine Kontrolle oder einen Standard deaktivieren oder wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren oder deaktivieren.

`ArchivalReasons:0/ReasonCode`  
Gibt an, warum Security Hub CSPM einen Befund archiviert hat.  
Security Hub CSPM archiviert beispielsweise vorhandene Ergebnisse, wenn Sie eine Kontrolle oder einen Standard deaktivieren oder wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren oder deaktivieren.

`PreviousComplianceStatus`  
Der vorherige Konformitätsstatus (`Compliance.Status`) der Ressource für die angegebene Kontrolle, zum Zeitpunkt der letzten Aktualisierung des Ergebnisses. Wenn sich der Konformitätsstatus der Ressource während der letzten Aktualisierung nicht geändert hat, entspricht dieser Wert dem Wert für das `Compliance.Status` Ergebnisfeld. Eine Liste möglicher Werte finden Sie unter [Bewertung des Konformitätsstatus und des Kontrollstatus](controls-overall-status.md).

`StandardsGuideArn` oder `StandardsArn`  
Der ARN des Standards, der dem Steuerelement zugeordnet ist.  
Für den Benchmark-Standard der CIS AWS Foundations lautet das Feld`StandardsGuideArn`. Für die Standards PCI DSS und AWS Foundational Security Best Practices lautet das Feld. `StandardsArn`  
Diese Felder werden zugunsten von entfernt, `Compliance.AssociatedStandards` wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren.

`StandardsGuideSubscriptionArn` oder `StandardsSubscriptionArn`  
Der ARN des Standardabonnements des Kontos.  
Für den Benchmark-Standard der CIS AWS Foundations lautet das Feld`StandardsGuideSubscriptionArn`. Für die Standards PCI DSS und AWS Foundational Security Best Practices lautet das Feld. `StandardsSubscriptionArn`  
Diese Felder werden entfernt, wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren.

`RuleId` oder `ControlId`  
Der Bezeichner für das Steuerelement.  
Für Version 1.2.0 des CIS AWS Foundations Benchmark-Standards lautet `RuleId` das Feld. Für andere Standards, einschließlich nachfolgender Versionen des CIS AWS Foundations Benchmark-Standards, lautet `ControlId` das Feld.  
Diese Felder werden zugunsten von entfernt, `Compliance.SecurityControlId` wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren.

`RecommendationUrl`  
Die URL mit Behebungsinformationen für das Steuerelement. Dieses Feld wird entfernt, `Remediation.Recommendation.Url` wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren.

`RelatedAWSResources:0/name`  
Der Name der Ressource, die dem Ergebnis zugeordnet ist.

`RelatedAWSResource:0/type`  
Der Typ der Ressource, die dem Steuerelement zugeordnet ist.

`StandardsControlArn`  
Der ARN des Steuerelements. Dieses Feld wird entfernt, wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren.

`aws/securityhub/ProductName`  
Für Kontrollergebnisse lautet der Produktname`Security Hub`.

`aws/securityhub/CompanyName`  
Bei Kontrollergebnissen lautet der Firmenname`AWS`.

`aws/securityhub/annotation`  
Eine Beschreibung des bei der Kontrolle aufgedeckten Problems.

`aws/securityhub/FindingId`  
Die Kennung für den Befund.  
Dieses Feld verweist nicht auf einen Standard, wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren.

## Schweregrade der Kontrollbefunde
<a name="control-findings-severity"></a>

Der Schweregrad, der einer Security Hub-CSPM-Steuerung zugewiesen wurde, weist auf die Wichtigkeit der Kontrolle hin. Der Schweregrad einer Kontrolle bestimmt den Schweregrad, der den Kontrollergebnissen zugewiesen wird.

### Schweregradkriterien
<a name="securityhub-standards-results-severity-criteria"></a>

Der Schweregrad einer Kontrolle wird anhand der folgenden Kriterien bestimmt:
+ **Wie schwierig ist es für einen Bedrohungsakteur, die mit der Kontrolle verbundene Konfigurationsschwäche auszunutzen?** Die Schwierigkeit wird durch den Grad an Raffinesse oder Komplexität bestimmt, der erforderlich ist, um die Schwachstelle zur Ausführung eines Bedrohungsszenarios auszunutzen.
+ **Wie wahrscheinlich ist es, dass die Schwachstelle zu einer Beeinträchtigung Ihrer Ressourcen AWS-Konten oder Ihrer Ressourcen führt?** Eine Beeinträchtigung Ihrer AWS-Konten Ressourcen bedeutet, dass die Vertraulichkeit, Integrität oder Verfügbarkeit Ihrer Daten oder AWS Infrastruktur in irgendeiner Weise beeinträchtigt wird. Die Wahrscheinlichkeit einer Gefährdung gibt an, wie wahrscheinlich es ist, dass das Bedrohungsszenario zu einer Störung oder einem Angriff auf Ihre Ressourcen AWS-Services oder Ihre Ressourcen führt.

Betrachten Sie als Beispiel die folgenden Konfigurationsschwächen:
+ Benutzerzugriffsschlüssel werden nicht alle 90 Tage ausgetauscht.
+ Der IAM-Root-Benutzerschlüssel ist vorhanden.

Beide Schwächen sind für einen Gegner gleichermaßen schwer auszunutzen. In beiden Fällen kann der Angreifer Anmeldeinformationen stehlen oder eine andere Methode verwenden, um an einen Benutzerschlüssel zu gelangen. Er kann es dann verwenden, um auf unautorisierte Weise auf Ihre Ressourcen zuzugreifen.

Die Wahrscheinlichkeit einer Kompromittierung ist jedoch viel höher, wenn der Bedrohungsakteur den Root-Benutzerzugriffsschlüssel erwirbt, da er dadurch besseren Zugriff hat. Infolgedessen hat die Schwäche des Root-Benutzerschlüssels einen höheren Schweregrad.

Der Schweregrad berücksichtigt nicht die Wichtigkeit der zugrunde liegenden Ressource. Kritikalität ist der Grad der Wichtigkeit der Ressourcen, die mit dem Ergebnis verknüpft sind. Beispielsweise ist eine Ressource, die einer geschäftskritischen Anwendung zugeordnet ist, kritischer als eine, die nicht produktionstechnischen Tests zugeordnet ist. Verwenden Sie das `Criticality` Feld des AWS Security Finding Formats (ASFF), um Informationen zur Ressourcenkritik zu erfassen.

In der folgenden Tabelle werden die Sicherheitslabel den Schwierigkeiten bei der Ausnutzung und der Wahrscheinlichkeit einer Gefährdung zugeordnet.


|  |  |  |  |  | 
| --- |--- |--- |--- |--- |
|    |  **Ein Kompromiss ist sehr wahrscheinlich**  |  **Kompromiss wahrscheinlich**  |  **Kompromiss unwahrscheinlich**  |  **Ein Kompromiss ist höchst unwahrscheinlich**  | 
|  **Sehr einfach auszunutzen**  |  Kritisch  |  Kritisch  |  Hoch  |  Mittel  | 
|  **Etwas einfach auszunutzen**  |  Kritisch  |  Hoch  |  Mittel  |  Mittel  | 
|  **Etwas schwer auszunutzen**  |  Hoch  |  Mittel  |  Mittel  |  Niedrig  | 
|  **Sehr schwer auszunutzen**  |  Mittel  |  Mittel  |  Niedrig  |  Niedrig  | 

### Schweregraddefinitionen
<a name="securityhub-standards-results-severity-definitions"></a>

Die Schweregrade sind wie folgt definiert.

**Kritisch — Das Problem sollte sofort behoben werden, um eine Eskalation zu vermeiden.**  
Beispielsweise wird ein offener S3-Bucket mit kritischem Schweregrad bewertet. Da so viele Bedrohungsakteure nach offenen S3-Buckets suchen, ist es wahrscheinlich, dass Daten in exponierten S3-Buckets von anderen entdeckt und abgerufen werden.  
Im Allgemeinen gelten öffentlich zugängliche Ressourcen als kritische Sicherheitslücken. Sie sollten kritische Ergebnisse mit äußerster Dringlichkeit behandeln. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.

**Hoch — Das Problem muss als kurzfristige Priorität angegangen werden.**  
Wenn eine Standard-VPC-Sicherheitsgruppe beispielsweise für eingehenden und ausgehenden Datenverkehr geöffnet ist, wird sie als hochgradig eingestuft. Für einen Bedrohungsakteur ist es ziemlich einfach, eine VPC mit dieser Methode zu kompromittieren. Es ist auch wahrscheinlich, dass der Bedrohungsakteur in der Lage sein wird, Ressourcen zu unterbrechen oder zu exfiltrieren, sobald sie sich in der VPC befinden.  
Security Hub CSPM empfiehlt, dass Sie einen Befund mit hohem Schweregrad als kurzfristige Priorität behandeln. Sie sollten sofort Abhilfemaßnahmen ergreifen. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.

**Mittel — Das Problem sollte als mittelfristige Priorität angegangen werden.**  
Mangelnde Verschlüsselung für Daten bei der Übertragung wird beispielsweise als mittelgradig eingestuft. Um diese Schwachstelle auszunutzen, ist ein ausgeklügelter man-in-the-middle Angriff erforderlich. Mit anderen Worten, es ist etwas schwierig. Es ist wahrscheinlich, dass einige Daten gefährdet werden, wenn das Bedrohungsszenario erfolgreich ist.  
Security Hub CSPM empfiehlt, dass Sie die betroffene Ressource so schnell wie möglich untersuchen. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.

**Niedrig — Das Problem erfordert keine eigenständigen Maßnahmen.**  
Beispielsweise wird das Versäumnis, forensische Informationen zu sammeln, als niedriger Schweregrad angesehen. Diese Kontrolle kann dazu beitragen, future Kompromisse zu verhindern, aber das Fehlen von Forensik führt nicht direkt zu einem Kompromiss.  
Bei Problemen mit geringem Schweregrad müssen Sie nicht sofort Maßnahmen ergreifen, sie können jedoch Kontext bieten, wenn Sie sie mit anderen Problemen korrelieren.

**Informativ — Es wurde keine Sicherheitslücke in der Konfiguration gefunden.**  
Mit anderen Worten, der Status ist `PASSED``WARNING`, oder`NOT AVAILABLE`.  
Es gibt keine empfohlene Aktion. Informationsergebnisse helfen Kunden dabei, nachzuweisen, dass sie sich in einem konformen Zustand befinden.

# Bewertung des Konformitätsstatus und des Kontrollstatus
<a name="controls-overall-status"></a>

Das `Compliance.Status` Feld des AWS Security Finding Formats beschreibt das Ergebnis eines Kontrollbefundes. AWS Security Hub CSPM verwendet den Compliance-Status von Kontrollfeststellungen, um einen allgemeinen Kontrollstatus zu ermitteln. Der Kontrollstatus wird auf der Detailseite einer Kontrolle in der Security Hub CSPM-Konsole angezeigt.

## Bewertung des Compliance-Status der CSPM-Ergebnisse von Security Hub
<a name="controls-overall-status-compliance-status"></a>

Dem Konformitätsstatus für jedes Ergebnis wird einer der folgenden Werte zugewiesen:
+ `PASSED`— Zeigt an, dass das Steuerelement die Sicherheitsüberprüfung für den Befund bestanden hat. Dadurch wird der Security Hub CSPM `Workflow.Status` automatisch auf eingestellt. `RESOLVED`
+ `FAILED`— Zeigt an, dass das Steuerelement die Sicherheitsüberprüfung für das Ergebnis nicht bestanden hat.
+ `WARNING`— Weist darauf hin, dass Security Hub CSPM nicht feststellen kann, ob sich die Ressource im Status „`PASSED`oder`FAILED`“ befindet. Beispielsweise ist die [AWS Config Ressourcenaufzeichnung](securityhub-setup-prereqs.md#config-resource-recording) für den entsprechenden Ressourcentyp nicht aktiviert.
+ `NOT_AVAILABLE`— Zeigt an, dass die Prüfung nicht abgeschlossen werden kann, weil ein Server ausgefallen ist, die Ressource gelöscht wurde `NOT_APPLICABLE` oder das Ergebnis der AWS Config Auswertung Wenn das AWS Config Evaluierungsergebnis war`NOT_APPLICABLE`, archiviert Security Hub CSPM den Befund automatisch.

Wenn sich der Compliance-Status für ein Ergebnis von `PASSED` zu`FAILED`, oder `WARNING``NOT_AVAILABLE`, ändert und `Workflow.Status` entweder `NOTIFIED` oder lautet`RESOLVED`, wechselt `Workflow.Status` Security Hub CSPM automatisch zu. `NEW`

Wenn Sie nicht über Ressourcen verfügen, die einer Kontrolle entsprechen, generiert Security Hub CSPM einen `PASSED` Befund auf Kontoebene. Wenn Sie über eine Ressource verfügen, die einem Steuerelement entspricht, die Ressource dann aber löschen, erstellt Security Hub CSPM einen `NOT_AVAILABLE` Befund und archiviert ihn sofort. Nach 18 Stunden erhalten Sie einen `PASSED` Befund, da Sie nicht mehr über Ressourcen verfügen, die der Kontrolle entsprechen.

## Ableitung des Kontrollstatus aus dem Compliance-Status
<a name="controls-overall-status-values"></a>

Security Hub CSPM leitet aus dem Compliance-Status der Kontrollfeststellungen einen allgemeinen Kontrollstatus ab. Bei der Bestimmung des Kontrollstatus ignoriert Security Hub CSPM Ergebnisse mit einem `RecordState` von `ARCHIVED` und Ergebnisse mit einem von. `Workflow.Status` `SUPPRESSED`

Dem Kontrollstatus wird einer der folgenden Werte zugewiesen:
+ **Bestanden** — Zeigt an, dass alle Ergebnisse den Konformitätsstatus haben`PASSED`.
+ **Fehlgeschlagen** — Zeigt an, dass mindestens ein Ergebnis den Konformitätsstatus hat`FAILED`.
+ **Unbekannt** — Gibt an, dass mindestens ein Ergebnis den Konformitätsstatus `WARNING` oder hat`NOT_AVAILABLE`. Keine Ergebnisse haben den Konformitätsstatus`FAILED`.
+ **Keine Daten** — Zeigt an, dass keine Ergebnisse für die Kontrolle vorliegen. Beispielsweise hat ein neu aktiviertes Steuerelement diesen Status, bis Security Hub CSPM beginnt, Ergebnisse dafür zu generieren. Ein Steuerelement hat diesen Status auch, wenn alle seine Ergebnisse aktuell nicht verfügbar sind `SUPPRESSED` oder nicht verfügbar sind. AWS-Region
+ **Deaktiviert** — Zeigt an, dass das Steuerelement im aktuellen Konto und in der Region deaktiviert ist. Für dieses Steuerelement werden derzeit keine Sicherheitsüberprüfungen im Girokonto und in der Region durchgeführt. Die Ergebnisse einer deaktivierten Kontrolle können sich jedoch bis zu 24 Stunden nach der Deaktivierung auf den Compliance-Status auswirken.

Bei einem Administratorkonto spiegelt der Kontrollstatus den Kontrollstatus für das Administratorkonto und die Mitgliedskonten wider. Insbesondere wird der Gesamtstatus eines Steuerelements als **Fehlgeschlagen** angezeigt, wenn für das Steuerelement ein oder mehrere fehlerhafte Ergebnisse im Administratorkonto oder in einem der Mitgliedskonten gefunden wurden. Wenn Sie eine Aggregationsregion festgelegt haben, spiegelt der Kontrollstatus in der Aggregationsregion den Kontrollstatus in der Aggregationsregion und den verknüpften Regionen wider. Insbesondere wird der Gesamtstatus eines Steuerelements als **Fehlgeschlagen** angezeigt, wenn für das Steuerelement ein oder mehrere fehlgeschlagene Ergebnisse in der Aggregationsregion oder einer der verknüpften Regionen vorliegen.

Security Hub CSPM generiert den anfänglichen Kontrollstatus in der Regel innerhalb von 30 Minuten nach Ihrem ersten Besuch der **Übersichtsseite** oder der Seite **Sicherheitsstandards auf der Security** Hub CSPM-Konsole. Sie müssen die [AWS Config Ressourcenaufzeichnung](controls-config-resources.md) konfiguriert haben, damit der Kontrollstatus angezeigt wird. Nachdem die Kontrollstatus zum ersten Mal generiert wurden, aktualisiert Security Hub CSPM die Kontrollstatus alle 24 Stunden auf der Grundlage der Ergebnisse der letzten 24 Stunden. Ein Zeitstempel auf der Seite mit den Kontrolldetails gibt an, wann der Kontrollstatus zuletzt aktualisiert wurde.

**Anmerkung**  
Nach der ersten Aktivierung eines Steuerelements kann es bis zu 24 Stunden dauern, bis Kontrollstatus in den Regionen China und den AWS GovCloud (US) Region generiert werden.

# Berechnung von Sicherheitswerten
<a name="standards-security-score"></a>

Auf der AWS Security Hub CSPM-Konsole werden auf der **Übersichtsseite** und der **Kontrollseite** eine zusammenfassende Sicherheitsbewertung für alle Ihre aktivierten Standards angezeigt. Auf der Seite **Sicherheitsstandards** zeigt Security Hub CSPM außerdem eine Sicherheitsbewertung von 0 bis 100 Prozent für jeden aktivierten Standard an.

Wenn Sie Security Hub CSPM zum ersten Mal aktivieren, berechnet Security Hub CSPM die zusammenfassende Sicherheitsbewertung und die Standardsicherheitsbewertungen innerhalb von 30 Minuten nach Ihrem ersten Besuch der Seite **Zusammenfassung** oder **Sicherheitsstandards** auf der Konsole. Bewertungen werden nur für Standards generiert, die aktiviert sind, wenn Sie diese Seiten auf der Konsole aufrufen. Darüber hinaus muss die AWS Config Ressourcenaufzeichnung konfiguriert werden, damit die Ergebnisse angezeigt werden. Die zusammenfassende Sicherheitsbewertung ist der Durchschnitt der Standardsicherheitsbewertungen. Um eine Liste der derzeit aktivierten Standards zu überprüfen, können Sie den [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)Betrieb der Security Hub CSPM-API verwenden. 

Nach der erstmaligen Score-Generierung aktualisiert Security Hub CSPM die Sicherheitswerte alle 24 Stunden. Security Hub CSPM zeigt einen Zeitstempel an, der angibt, wann eine Sicherheitsbewertung zuletzt aktualisiert wurde. Beachten Sie, dass es bis zu 24 Stunden dauern kann, bis zum ersten Mal Sicherheitsbewertungen in den China Regionen und AWS GovCloud (US) Regions generiert werden.

Wenn Sie die Option „[Konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings)“ aktivieren, kann es bis zu 24 Stunden dauern, bis Ihre Sicherheitsbewertungen aktualisiert werden. Darüber hinaus werden durch die Aktivierung einer neuen Aggregationsregion oder die Aktualisierung verknüpfter Regionen bestehende Sicherheitsbewertungen zurückgesetzt. Es kann bis zu 24 Stunden dauern, bis Security Hub CSPM neue Sicherheitsbewertungen generiert, die Daten aus den aktualisierten Regionen enthalten.

## Methode zur Berechnung von Sicherheitseinstufungen
<a name="standard-security-score-calculation"></a>

Sicherheitswerte stellen das Verhältnis zwischen **bestandenen** Kontrollen und aktivierten Kontrollen dar. Die Punktzahl wird als Prozentsatz angezeigt, der auf die nächste ganze Zahl auf- oder abgerundet ist.

Security Hub CSPM berechnet eine zusammenfassende Sicherheitsbewertung für alle Ihre aktivierten Standards. Security Hub CSPM berechnet außerdem eine Sicherheitsbewertung für jeden aktivierten Standard. **Für die Berechnung der Punktzahl umfassen aktivierte Kontrollen Kontrollen mit dem Status „Bestanden“, „**Fehlgeschlagen**“ **und** „Unbekannt“.** Steuerelemente mit dem Status **Keine Daten** sind von der Punkteberechnung ausgeschlossen.

Security Hub CSPM ignoriert archivierte und unterdrückte Ergebnisse bei der Berechnung des Kontrollstatus. Dies kann sich auf die Sicherheitswerte auswirken. **Wenn Sie beispielsweise alle fehlgeschlagenen Ergebnisse für eine Kontrolle unterdrücken, erhält sie den Status Bestanden, was wiederum Ihre Sicherheitswerte verbessern kann.** Weitere Informationen zum Kontrollstatus finden Sie unter[Bewertung des Konformitätsstatus und des Kontrollstatus](controls-overall-status.md).

**Beispiel für eine Bewertung:**


| Standard | Kontrollen bestanden | Fehlgeschlagene Kontrollen | Unbekannte Kontrollen | Standardpunktzahl | 
| --- | --- | --- | --- | --- | 
|  AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0  |  168  |  22  |  0  |  88%  | 
|  Benchmark AWS v1.4.0 für GUS-Stiftungen  |  8  |  29  |  0  |  22%  | 
|  Benchmark AWS v1.2.0 für GUS-Stiftungen  |  6  |  35  |  0  |  15%  | 
|  NIST-Sonderpublikation 800-53 Revision 5  |  159  |  56  |  0  |  74%  | 
|  PCI DSS v3.2.1  |  28  |  17  |  0  |  62%  | 

Bei der Berechnung der zusammenfassenden Sicherheitsbewertung zählt Security Hub CSPM jede Kontrolle standardübergreifend nur einmal. Wenn Sie beispielsweise ein Steuerelement aktiviert haben, das für drei aktivierte Standards gilt, zählt es für Bewertungszwecke nur als ein aktiviertes Steuerelement.

In diesem Beispiel beträgt die Gesamtzahl der aktivierten Kontrollen für alle aktivierten Standards zwar 528, Security Hub CSPM zählt jedoch jedes einzelne Steuerelement zu Bewertungszwecken nur einmal. Die Anzahl der einzelnen aktivierten Kontrollen liegt wahrscheinlich unter 528. Wenn wir davon ausgehen, dass die Anzahl der eindeutigen aktivierten Kontrollen 515 und die Anzahl der eindeutigen bestandenen Kontrollen 357 beträgt, liegt der Gesamtwert bei 69%. Diese Punktzahl wird berechnet, indem die Anzahl der eindeutigen bestandenen Kontrollen durch die Anzahl der eindeutigen aktivierten Kontrollen dividiert wird.

Möglicherweise haben Sie eine Gesamtpunktzahl, die von der Standardsicherheitsbewertung abweicht, auch wenn Sie in Ihrem Konto in der aktuellen Region nur einen Standard aktiviert haben. Dies kann der Fall sein, wenn Sie mit einem Administratorkonto angemeldet sind und für Mitgliedskonten zusätzliche Standards oder andere Standards aktiviert sind. Dies kann auch der Fall sein, wenn Sie sich die Punktzahl aus der Aggregationsregion ansehen und zusätzliche Standards oder andere Standards in verknüpften Regionen aktiviert sind.

## Sicherheitsbewertungen für Administratorkonten
<a name="standard-security-score-admin"></a>

Wenn Sie mit einem Administratorkonto angemeldet sind, beziehen sich die Sicherheitsbewertung und die Standardwerte auf den Kontrollstatus im Administratorkonto und in allen Mitgliedskonten.

Wenn der Status einer Kontrolle auch nur in einem Mitgliedskonto **Fehlgeschlagen** lautet, lautet ihr Status im Administratorkonto **Fehlgeschlagen** und wirkt sich auf die Punktzahlen des Administratorkontos aus.

Wenn Sie mit einem Administratorkonto angemeldet sind und Ergebnisse in einer Aggregationsregion anzeigen, berücksichtigen die Sicherheitsbewertungen den Kontrollstatus in allen Mitgliedskonten *und* allen verknüpften Regionen.

## Sicherheitswerte, wenn Sie eine Aggregationsregion festgelegt haben
<a name="standard-security-aggregation-region"></a>

Wenn Sie eine Aggregation festgelegt haben AWS-Region, berücksichtigen die zusammenfassende Sicherheitsbewertung und die Standardwerte den gesamten Kontrollstatus verknüpfte Regionen.

Wenn der Status eines Steuerelements auch nur in einer verknüpften Region „**Fehlgeschlagen**“ lautet, lautet sein Status in der Aggregationsregion „**Fehlgeschlagen**“, was sich auf die Werte der Aggregationsregion auswirkt.

Wenn Sie mit einem Administratorkonto angemeldet sind und sich Punktzahlen in einer Aggregationsregion ansehen, berücksichtigen die Sicherheitsbewertungen den Kontrollstatus in allen Mitgliedskonten *und* allen verknüpften Regionen.

# Kontrollkategorien in Security Hub CSPM
<a name="control-categories"></a>

Jedem Steuerelement wird eine Kategorie zugewiesen. Die Kategorie einer Kontrolle spiegelt die Sicherheitsfunktion wider, auf die die Kontrolle angewendet wird.

Der Kategoriewert enthält die Kategorie, die Unterkategorie innerhalb der Kategorie und optional einen Klassifikator innerhalb der Unterkategorie. Beispiel:
+ Identifizieren > Inventar
+ Schützen > Datenschutz > Verschlüsselung von Daten bei der Übertragung

Hier finden Sie die Beschreibungen der verfügbaren Kategorien, Unterkategorien und Klassifikatoren.

## Identifizieren
<a name="control-category-identify"></a>

Entwickeln Sie die organisatorische Grundlagen für das Management von Cybersicherheitsrisiken für Systeme, Assets, Daten und Funktionen.

**Bestand**  
Hat der Service die richtigen Ressourcen-Tagging-Strategien implementiert? Schließen die Tagging-Strategien den Ressourcenbesitzer ein?  
Welche Ressourcen werden vom Service genutzt? Sind sie für diesen Service genehmigte Ressourcen?  
Haben Sie Einblick in den genehmigten Bestand? Verwenden Sie beispielsweise Dienste wie Amazon EC2 Systems Manager und Service Catalog? 

**Protokollierung**  
Haben Sie die gesamte relevante Protokollierung für den Service sicher aktiviert? Zu den Beispielen für Protokolldateien gehören die folgenden:  
+ Amazon-VPC-Flow-Protokolle
+ Zugriffsprotokolle für Elastic Load Balancing
+  CloudFront Amazon-Protokolle
+  CloudWatch Amazon-Protokolle
+ Protokollierung durch Amazon Relational Database Service
+ Langsame Indexprotokolle von Amazon OpenSearch Service
+ X-Ray-Nachverfolgung
+ AWS Directory Service Logs
+ AWS Config Artikel
+ -Snapshots

## Schutz
<a name="control-category-protect"></a>

Entwicklung und Implementierung geeigneter Sicherheitsvorkehrungen, um die Bereitstellung kritischer Infrastrukturservices und sicherer Codierungspraktiken zu gewährleisten.

**Sichere Zugriffsverwaltung**  
Verwendet der Service in seinen IAM- oder Ressourcenrichtlinien Verfahren mit den geringsten Rechten?  
Sind Passwörter und Secrets ausreichend komplex? Werden sie angemessen rotiert?  
Verwendet der Service Multi-Factor Authentication (MFA)?  
Vermeidet der Dienst den Root-Benutzer?  
Erlauben ressourcenbasierte Richtlinien den öffentlichen Zugriff?

**Sichere Netzwerkkonfiguration**  
Vermeidet der Service öffentlichen und unsicheren Remote-Netzwerkzugriff?  
Wird der Dienst VPCs ordnungsgemäß verwendet? Müssen beispielsweise Jobs ausgeführt werden VPCs?  
Segmentiert und isoliert der Service sensible Ressourcen ordnungsgemäß? 

**Datenschutz**  
Verschlüsselung von Daten im Ruhezustand — Verschlüsselt der Dienst Daten im Ruhezustand?  
Verschlüsselung von Daten bei der Übertragung — Verschlüsselt der Dienst Daten bei der Übertragung?  
Datenintegrität — Validiert der Dienst Daten auf Integrität?  
Schutz vor Datenlöschung — Schützt der Dienst Daten vor versehentlichem Löschen?  
Datenverwaltung/-nutzung — Verwenden Sie Dienste wie Amazon Macie, um den Standort Ihrer sensiblen Daten zu verfolgen?

**API-Schutz**  
Wird der Service AWS PrivateLink zum Schutz der Service-API-Operationen verwendet?

**Schutzdienste**  
Sind die richtigen Schutzdienste vorhanden? Bieten sie das richtige Maß an Abdeckung?  
Schutzdienste helfen Ihnen, Angriffe und Gefährdungen abzuwehren, die auf den Service abzielen. Beispiele für Schutzdienste AWS sind AWS Control Tower,, AWS WAF, Vanta AWS Shield Advanced, Secrets Manager, IAM Access Analyzer und. AWS Resource Access Manager

**Sichere Entwicklung**  
Verwenden Sie sichere Codierungspraktiken?  
Vermeiden Sie Schwachstellen wie das Open Web Application Security Project (OWASP) Top Ten?

## Detect
<a name="control-category-detect"></a>

Entwickeln und implementieren Sie geeignete Aktivitäten, um das Auftreten eines Cybersicherheitsereignisses zu identifizieren.

**Erkennungsservices**  
Sind die richtigen Erkennungsservices vorhanden?  
Bieten sie das richtige Maß an Abdeckung?  
Beispiele für AWS Erkennungsdienste sind Amazon GuardDuty, AWS Security Hub CSPM, Amazon Inspector, Amazon Detective, Amazon CloudWatch Alarms und AWS IoT Device Defender. AWS Trusted Advisor

## Reagieren
<a name="control-category-respond"></a>

Entwickeln und implementieren Sie geeignete Aktivitäten, um Maßnahmen in Bezug auf ein erkanntes Cybersicherheitsereignis zu ergreifen.

**Maßnahmen zur Reaktion**  
Reagieren Sie schnell auf Sicherheitsereignisse?  
Verfügen Sie über aktive Ergebnisse mit kritischem oder hohem Schweregrad?

**Forensik**  
Können Sie sicher forensische Daten für den Service erfassen? Erwerben Sie beispielsweise Amazon EBS-Snapshots, die mit wirklich positiven Ergebnissen verknüpft sind?  
Haben Sie ein forensisches Konto eingerichtet?

## Wiederherstellung
<a name="control-category-recover"></a>

Entwickeln und implementieren Sie geeignete Aktivitäten, um Ausfallpläne aufrechtzuerhalten und alle Funktionen oder Services wiederherzustellen, die aufgrund eines Cybersicherheitsereignisses beeinträchtigt wurden.

**Ausfallsicherheit**  
Unterstützt die Servicekonfiguration ordnungsgemäße Failovers, elastische Skalierung und hohe Verfügbarkeit?  
Haben Sie Sicherungen erstellt? 

# Überprüfung der Details der Kontrollen in Security Hub CSPM
<a name="securityhub-standards-control-details"></a>

Wenn Sie auf der **Kontrollseite** oder der Standarddetailseite der Security Hub CSPM-Konsole ein Steuerelement auswählen, gelangen Sie zu einer Seite mit Kontrolldetails.

Oben auf der Seite mit den Kontrolldetails wird der Kontrollstatus angezeigt. Der Kontrollstatus fasst die Leistung einer Kontrolle auf der Grundlage des Konformitätsstatus der Kontrollergebnisse zusammen. Security Hub CSPM generiert den anfänglichen Kontrollstatus in der Regel innerhalb von 30 Minuten nach Ihrem ersten Besuch der **Übersichtsseite** oder der Seite **Sicherheitsstandards auf der Security** Hub CSPM-Konsole. Status sind nur für Kontrollen verfügbar, die aktiviert werden, wenn Sie diese Seiten besuchen.

Auf der Seite mit den Kontrolldetails finden Sie auch eine Aufschlüsselung des Konformitätsstatus der Kontrollergebnisse der letzten 24 Stunden. Weitere Informationen zum Kontrollstatus und zum Compliance-Status finden Sie unter[Bewertung des Konformitätsstatus und des Kontrollstatus](controls-overall-status.md).

AWS Config Die Ressourcenaufzeichnung muss konfiguriert sein, damit der Kontrollstatus angezeigt wird. Nachdem der Kontrollstatus zum ersten Mal generiert wurde, aktualisiert Security Hub CSPM den Kontrollstatus alle 24 Stunden auf der Grundlage der Ergebnisse der letzten 24 Stunden.

Für Administratorkonten wird ein aggregierter Kontrollstatus für das Administratorkonto und die Mitgliedskonten angezeigt. Wenn Sie eine Aggregationsregion festgelegt haben, umfasst der Kontrollstatus Ergebnisse aus allen verknüpften Regionen. Weitere Informationen zum Kontrollstatus finden Sie unter[Bewertung des Konformitätsstatus und des Kontrollstatus](controls-overall-status.md).

Sie können die Steuerung auch auf der Seite mit den Kontrolldetails aktivieren oder deaktivieren.

**Anmerkung**  
Nach der Aktivierung einer Steuerung kann es bis zu 24 Stunden dauern, bis in den Regionen China und erstmalige Kontrollstatus generiert werden. AWS GovCloud (US) Regions

Auf der Registerkarte **Standards und Anforderungen** sind die Standards aufgeführt, für die eine Kontrolle aktiviert werden kann, sowie die Anforderungen, die sich aus den verschiedenen Compliance-Frameworks ergeben, in Bezug auf die Kontrolle.

Auf der Registerkarte „**Prüfungen**“ werden die für die Kontrolle aktiven Ergebnisse der letzten 24 Stunden aufgeführt. Kontrollergebnisse werden generiert und aktualisiert, wenn Security Hub CSPM Sicherheitsprüfungen für die Kontrolle durchführt. Die Liste auf dieser Registerkarte enthält keine archivierten Ergebnisse.

Für jedes Ergebnis bietet die Liste Zugriff auf Ergebnisdetails wie den Konformitätsstatus und die zugehörige Ressource. Sie können auch den Workflow-Status für jedes Ergebnis festlegen und Ergebnisse an benutzerdefinierte Aktionen senden. Weitere Informationen finden Sie unter [Überprüfung und Verwaltung der Kontrollergebnisse](securityhub-control-manage-findings.md).

## Details für ein Steuerelement anzeigen
<a name="view-control-details-console"></a>

Wählen Sie Ihre bevorzugte Zugriffsmethode und gehen Sie wie folgt vor, um die Details für ein Steuerelement zu überprüfen. Die Angaben beziehen sich auf das Girokonto und die Region und beinhalten Folgendes:
+ Der Titel und die Beschreibung der Kontrolle.
+ Ein Link zu Anleitungen zur Behebung fehlgeschlagener Kontrollergebnisse.
+ Der Schweregrad der Kontrolle.
+ Der Status der Kontrolle.

Auf der Konsole können Sie sich auch eine Liste der aktuellen Ergebnisse der Kontrolle ansehen. Um dies programmgesteuert zu tun, können Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)Betrieb der Security Hub CSPM-API verwenden.

------
#### [ Security Hub CSPM console ]

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich **Controls** aus.

1. Wählen Sie ein Steuerelement aus.

------
#### [ Security Hub CSPM API ]

1. Führen Sie `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` einen oder mehrere Standards aus und geben Sie ARNs sie an, um eine Liste der Steuerelemente IDs für diesen Standard zu erhalten. Um den Standard zu erhalten ARNs, führen Sie den Befehl aus [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Wenn Sie keinen Standard-ARN angeben, gibt diese API die gesamte Security Hub CSPM-Steuerung zurück. IDs Diese API gibt eine standardunabhängige Sicherheitskontrolle zurück IDs, nicht die standardbasierte Steuerung IDs , die vor diesen Feature-Releases existierte.

   **Beispiel für eine Anfrage:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Ausführen`[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)`, um Details zu einem oder mehreren Steuerelementen im aktuellen AWS-Konto und abzurufen AWS-Region.

   **Beispiel für eine Anfrage:**

   ```
   {
       "SecurityControlIds": ["Config.1", "IAM.1"]
   }
   ```

------
#### [ AWS CLI ]

1. Führen Sie den `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` Befehl aus und geben Sie einen oder mehrere Standards ARNs an, um eine Liste von Steuerelementen zu erhalten IDs. Führen Sie den `describe-standards` Befehl aus ARNs, um den Standard zu erhalten. Wenn Sie keinen Standard-ARN angeben, gibt dieser Befehl die gesamte Security Hub-CSPM-Steuerung zurück. IDs Dieser Befehl gibt eine standardunabhängige Sicherheitskontrolle zurück IDs, nicht die standardbasierte Steuerung IDs , die vor diesen Feature-Releases existierte.

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Führen Sie den `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html)` Befehl aus, um Details zu einem oder mehreren Steuerelementen im aktuellen und abzurufen. AWS-Konto AWS-Region

   ```
   aws securityhub --region us-east-1 batch-get-security-controls --security-control-ids '["Config.1", "IAM.1"]'
   ```

------

# Filter- und Sortiersteuerungen in Security Hub CSPM
<a name="controls-filter-sort"></a>

Auf der AWS Security Hub CSPM-Konsole können Sie auf der Seite „**Steuerelemente**“ eine Tabelle mit den derzeit verfügbaren Steuerelementen überprüfen. AWS-Region Die Ausnahme ist eine Aggregationsregion. Wenn Sie [eine Aggregationsregion konfiguriert](finding-aggregation.md) haben und sich bei dieser Region anmelden, werden in der Konsole Steuerelemente angezeigt, die in der Aggregationsregion oder einer oder mehreren verknüpften Regionen verfügbar sind.

Um sich auf eine bestimmte Teilmenge von Steuerelementen zu konzentrieren, können Sie die Tabelle der Steuerelemente sortieren und filtern. Mithilfe der Optionen „**Nach filtern**“ neben der Tabelle können Sie sich schnell auf diese bestimmten Teilmengen konzentrieren:
+ Alle aktivierten Steuerelemente, d. h. Steuerelemente, die in mindestens einem aktivierten Standard aktiviert sind.
+ Alle deaktivierten Steuerelemente, d. h. Steuerelemente, die in allen Standards deaktiviert sind.
+ Alle aktivierten Steuerelemente, die einen bestimmten Steuerstatus haben, z. B. **Fehlgeschlagen**. Mit der Option **Keine Daten** werden nur die Steuerelemente angezeigt, für die derzeit keine Ergebnisse vorliegen. Informationen zum Kontrollstatus finden Sie unter[Bewertung des Konformitätsstatus und des Kontrollstatus](controls-overall-status.md).

Zusätzlich zu den Optionen **Nach filtern** können Sie die Tabelle filtern, indem Sie Filterkriterien in das Feld **Steuerelemente filtern** über der Tabelle eingeben. Sie können beispielsweise nach Kontroll-ID oder Schweregrad filtern.

Standardmäßig werden Steuerelemente mit dem Status **Fehlgeschlagen** zuerst aufgeführt, in absteigender Reihenfolge nach Schweregrad. Sie können die Sortierreihenfolge ändern, indem Sie eine andere Spaltenüberschrift auswählen.

**Tipp**  
Wenn Sie automatisierte Workflows haben, die auf Kontrollergebnissen basieren, empfehlen wir, die [Felder `SecurityControlId` oder `SecurityControlArn` ASFF](securityhub-findings-format.md) als Filter zu verwenden, anstatt die `Description` Felder `Title` oder. Letztere Felder können sich gelegentlich ändern, wohingegen Kontroll-ID und ARN statische Identifikatoren sind.

Wenn Sie mit einem Security Hub CSPM-Administratorkonto angemeldet sind, gehören zu den **aktivierten** Steuerelementen auch Steuerelemente, die in mindestens einem Mitgliedskonto aktiviert sind. Wenn Sie eine Aggregationsregion konfiguriert haben, gehören zu den **aktivierten** Steuerelementen auch Steuerelemente, die in mindestens einer verknüpften Region aktiviert sind.

Wenn Sie die Option neben einem aktivierten Steuerelement auswählen, wird ein Fenster mit den Standards angezeigt, in denen das Steuerelement derzeit aktiviert ist. Sie können auch die Standards sehen, in denen das Steuerelement derzeit deaktiviert ist. In diesem Bereich können Sie ein Steuerelement in allen Standards deaktivieren. Weitere Informationen finden Sie unter [Steuerelemente in Security Hub CSPM deaktivieren](disable-controls-overview.md). Bei Administratorkonten spiegeln die Informationen im Panel die Einstellungen für all Ihre Mitgliedskonten wider.

Um eine Liste von Steuerelementen programmgesteuert abzurufen, können Sie den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)Betrieb der Security Hub CSPM-API verwenden. Verwenden Sie den Vorgang, um die Details einzelner Steuerelemente abzurufen. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)

# Grundlegendes zu den Steuerungsparametern in Security Hub CSPM
<a name="custom-control-parameters"></a>

Einige Steuerelemente in AWS Security Hub CSPM verwenden Parameter, die beeinflussen, wie die Steuerung bewertet wird. In der Regel werden solche Kontrollen anhand der von Security Hub CSPM definierten Standardparameterwerte bewertet. Für eine Teilmenge dieser Steuerelemente können Sie die Parameterwerte jedoch ändern. Wenn Sie einen Steuerparameterwert ändern, beginnt Security Hub CSPM, die Steuerung anhand des von Ihnen angegebenen Werts auszuwerten. Wenn die dem Steuerelement zugrunde liegende Ressource den benutzerdefinierten Wert erfüllt, generiert Security Hub CSPM einen Befund. `PASSED` Wenn die Ressource den benutzerdefinierten Wert nicht erfüllt, generiert Security Hub CSPM einen `FAILED` Befund.

Durch die Anpassung der Kontrollparameter können Sie die von Security Hub CSPM empfohlenen und überwachten bewährten Sicherheitsmethoden verfeinern, um sie an Ihre Geschäftsanforderungen und Sicherheitserwartungen anzupassen. Anstatt die Ergebnisse einer Kontrolle zu unterdrücken, können Sie einen oder mehrere ihrer Parameter anpassen, um Ergebnisse zu erhalten, die Ihren Sicherheitsanforderungen entsprechen.

Im Folgenden finden Sie einige Anwendungsbeispiele für das Ändern von Steuerparametern und das Festlegen benutzerdefinierter Werte:
+ **[CloudWatch.16] — CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden**

  Sie können den Aufbewahrungszeitraum angeben.
+ **[IAM.7] — Passwortrichtlinien für IAM-Benutzer sollten solide Konfigurationen haben**

  Sie können Parameter angeben, die sich auf die Passwortstärke beziehen.
+ **[EC2.18] — Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen**

  Sie können angeben, welche Ports uneingeschränkten eingehenden Verkehr zulassen dürfen.
+ **[Lambda.5] — VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren**

  Sie können die Mindestanzahl von Availability Zones angeben, die zu einem erfolgreichen Ergebnis führen.

In diesem Abschnitt werden Dinge behandelt, die Sie bei der Änderung von Steuerungsparametern beachten sollten.

## Auswirkung der Änderung von Steuerparameterwerten
<a name="custom-control-parameters-overview"></a>

Wenn Sie einen Parameterwert ändern, lösen Sie auch eine neue Sicherheitsüberprüfung aus, bei der das Steuerelement anhand des neuen Werts bewertet wird. Security Hub CSPM generiert dann neue Kontrollergebnisse auf der Grundlage des neuen Werts. Bei regelmäßigen Updates zur Kontrolle der Ergebnisse verwendet Security Hub CSPM auch den neuen Parameterwert. Wenn Sie Parameterwerte für ein Steuerelement ändern, aber keine Standards aktiviert haben, die das Steuerelement enthalten, führt Security Hub CSPM keine Sicherheitsprüfungen mit den neuen Werten durch. Sie müssen mindestens einen relevanten Standard für Security Hub CSPM aktivieren, um die Kontrolle auf der Grundlage des neuen Parameterwerts auszuwerten.

Ein Steuerelement kann einen oder mehrere anpassbare Parameter haben. Zu den möglichen Datentypen für jeden Steuerparameter gehören die folgenden:
+ Boolesch
+ Double
+ Enum
+ EnumList
+ Ganzzahl
+ IntegerList
+ Zeichenfolge
+ StringList

Benutzerdefinierte Parameterwerte gelten für alle Ihre aktivierten Standards. Sie können die Parameter für ein Steuerelement, das in Ihrer aktuellen Region nicht unterstützt wird, nicht anpassen. Eine Liste der regionalen Grenzwerte für einzelne Steuerelemente finden Sie unter[Regionale Beschränkungen der Security Hub CSPM-Steuerungen](regions-controls.md).

Bei einigen Kontrollen müssen akzeptable Parameterwerte in einen bestimmten Bereich fallen, um gültig zu sein. In diesen Fällen bietet Security Hub CSPM den akzeptablen Bereich.

Security Hub CSPM wählt Standardparameterwerte aus und aktualisiert sie möglicherweise gelegentlich. Nachdem Sie einen Steuerparameter angepasst haben, entspricht sein Wert weiterhin dem Wert, den Sie für den Parameter angegeben haben, sofern Sie ihn nicht ändern. Das heißt, der Parameter stoppt die Nachverfolgung von Aktualisierungen des Security Hub CSPM-Standardwerts, auch wenn der benutzerdefinierte Wert des Parameters mit dem aktuellen, von Security Hub CSPM definierten Standardwert übereinstimmt. Hier ist ein Beispiel für die Steuerung **[ACM.1] — Importierte und von ACM ausgestellte Zertifikate sollten** nach einem bestimmten Zeitraum erneuert werden:

```
{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}
```

Im vorherigen Beispiel hat der `daysToExpiration` Parameter den benutzerdefinierten Wert. `30` Der aktuelle Standardwert für diesen Parameter ist ebenfalls`30`. Wenn Security Hub CSPM den Standardwert auf ändert`14`, verfolgt der Parameter in diesem Beispiel diese Änderung nicht. Er behält den Wert von. `30`

Wenn Sie Aktualisierungen des Security Hub CSPM-Standardwerts für einen Parameter verfolgen möchten, setzen Sie das `ValueType` Feld auf `DEFAULT` statt auf. `CUSTOM` Weitere Informationen finden Sie unter [Zurücksetzen auf die Standardsteuerungsparameter in einem einzigen Konto und einer Region](revert-default-parameter-values.md#revert-default-parameter-values-local-config).

## Steuerelemente, die benutzerdefinierte Parameter unterstützen
<a name="controls-list-custom-parameters"></a>

Eine Liste der Sicherheitskontrollen, die benutzerdefinierte Parameter unterstützen, finden Sie auf der Seite **Steuerelemente** der Security Hub CSPM-Konsole oder unter. [Kontrollreferenz für Security Hub CSPM](securityhub-controls-reference.md) Um diese Liste programmgesteuert abzurufen, können Sie den Vorgang verwenden. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) In der Antwort gibt das `CustomizableProperties` Objekt an, welche Steuerelemente anpassbare Parameter unterstützen.

# Überprüfung der aktuellen Steuerparameterwerte
<a name="view-control-parameters"></a>

Es kann hilfreich sein, den aktuellen Wert eines Steuerparameters zu kennen, bevor Sie ihn ändern.

Sie können die aktuellen Werte für einzelne Steuerparameter in Ihrem Konto überprüfen. Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte AWS Security Hub CSPM-Administrator auch Parameterwerte überprüfen, die in einer Konfigurationsrichtlinie angegeben sind.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die aktuellen Steuerparameterwerte zu überprüfen.

------
#### [ Security Hub CSPM console ]

**Um die aktuellen Steuerparameterwerte zu überprüfen (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich Controls aus.** Wählen Sie ein Steuerelement aus.

1. Wählen Sie die Registerkarte **Parameters** aus. Auf dieser Registerkarte werden die aktuellen Parameterwerte für das Steuerelement angezeigt.

------
#### [ Security Hub CSPM API ]

**Um die aktuellen Steuerparameterwerte (API) zu überprüfen**

Rufen Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)API auf und stellen Sie eine oder mehrere Sicherheitskontrollen bereit IDs oder ARNs. Das `Parameters` Objekt in der Antwort zeigt die aktuellen Parameterwerte für die angegebenen Steuerelemente an.

Der folgende AWS CLI Befehl zeigt beispielsweise die aktuellen Parameterwerte für `APIGatway.1``CloudWatch.15`, und`IAM.7`. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```

------

Wählen Sie Ihre bevorzugte Methode, um die aktuellen Parameterwerte in einer zentralen Konfigurationsrichtlinie anzuzeigen.

------
#### [ Security Hub CSPM console ]

**Um die aktuellen Kontrollparameterwerte in einer Konfigurationsrichtlinie (Konsole) zu überprüfen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. **Wählen Sie im Navigationsbereich **Einstellungen und Konfiguration aus.****

1. Wählen Sie auf der Registerkarte **Richtlinien** die Konfigurationsrichtlinie aus und klicken Sie dann **auf Details anzeigen**. Anschließend werden die Richtliniendetails angezeigt, einschließlich der aktuellen Parameterwerte.

------
#### [ Security Hub CSPM API ]

**Um die aktuellen Steuerparameterwerte in einer Konfigurationsrichtlinie (API) zu überprüfen**

1. Rufen Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)API über das delegierte Administratorkonto in der Heimatregion auf.

1. Geben Sie den ARN oder die ID der Konfigurationsrichtlinie an, deren Details Sie sehen möchten. Die Antwort enthält aktuelle Parameterwerte.

Mit dem folgenden AWS CLI Befehl werden beispielsweise die aktuellen Steuerparameterwerte in der angegebenen Konfigurationsrichtlinie abgerufen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

Zu den Kontrollergebnissen gehören auch die aktuellen Werte der Steuerparameter. In der [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md) erscheinen diese Werte im `Parameters` Feld des `Compliance` Objekts. **Um die Ergebnisse auf der Security Hub CSPM-Konsole zu überprüfen, wählen Sie im Navigationsbereich Findings aus.** Verwenden Sie den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)Betrieb der Security Hub CSPM-API, um die Ergebnisse programmatisch zu überprüfen.

# Anpassen von Steuerparameterwerten
<a name="customize-control-parameters"></a>

Die Anweisungen zum Anpassen der Steuerparameter variieren je nachdem, ob Sie die [zentrale Konfiguration](central-configuration-intro.md) in AWS Security Hub CSPM verwenden. Die zentrale Konfiguration ist eine Funktion, mit der der delegierte Security Hub CSPM-Administrator die Security Hub CSPM-Funktionen für Konten und Organisationseinheiten AWS-Regionen konfigurieren kann (). OUs

Wenn Ihr Unternehmen die zentrale Konfiguration verwendet, kann der delegierte Administrator Konfigurationsrichtlinien erstellen, die benutzerdefinierte Steuerungsparameter enthalten. Diese Richtlinien können mit zentral verwalteten Mitgliedskonten verknüpft werden und OUs treten in Ihrer Heimatregion und allen verknüpften Regionen in Kraft. Der delegierte Administrator kann auch ein oder mehrere Konten als selbstverwaltete Konten festlegen, sodass der Kontoinhaber seine eigenen Parameter in jeder Region separat konfigurieren kann. Wenn Ihre Organisation keine zentrale Konfiguration verwendet, müssen Sie die Steuerparameter für jedes Konto und jede Region separat anpassen.

Wir empfehlen, die zentrale Konfiguration zu verwenden, da Sie so die Werte der Steuerparameter in verschiedenen Teilen Ihrer Organisation aufeinander abstimmen können. Beispielsweise könnten alle Ihre Testkonten bestimmte Parameterwerte verwenden, und alle Produktionskonten könnten unterschiedliche Werte verwenden.

## Anpassen von Steuerungsparametern in mehreren Konten und Regionen
<a name="customize-control-parameters-central-config"></a>

Wenn Sie der delegierte Security Hub CSPM-Administrator für eine Organisation sind, die die zentrale Konfiguration verwendet, wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Steuerungsparameter für mehrere Konten und Regionen anzupassen.

------
#### [ Security Hub CSPM console ]

**So passen Sie die Werte der Steuerparameter in mehreren Konten und Regionen an (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Stellen Sie sicher, dass Sie in der Heimatregion angemeldet sind.

1. Wählen Sie im Navigationsbereich **Einstellungen** und **Konfiguration** aus.

1. Wählen Sie die Registerkarte **Policies**.

1. Um eine neue Konfigurationsrichtlinie mit benutzerdefinierten Parametern zu erstellen, wählen Sie **Richtlinie erstellen** aus. Um benutzerdefinierte Parameter in einer vorhandenen Konfigurationsrichtlinie anzugeben, wählen Sie die Richtlinie aus und klicken Sie dann auf **Bearbeiten**.

   **Um eine neue Konfigurationsrichtlinie mit benutzerdefinierten Steuerparameterwerten zu erstellen**

   1. Wählen Sie im Abschnitt **Benutzerdefinierte Richtlinie** die Sicherheitsstandards und Kontrollen aus, die Sie aktivieren möchten.

   1. Wählen Sie **Steuerungsparameter anpassen** aus.

   1. Wählen Sie ein Steuerelement aus, und geben Sie dann benutzerdefinierte Werte für einen oder mehrere Parameter an.

   1. Um Parameter für weitere Steuerelemente anzupassen, wählen Sie **Zusätzliche Steuerung anpassen**.

   1. Wählen Sie im Abschnitt **Konten** die Konten aus OUs , auf die Sie die Richtlinie anwenden möchten.

   1. Wählen Sie **Weiter** aus.

   1. Wählen Sie **Richtlinie erstellen und anwenden**. In Ihrer Heimatregion und allen verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft OUs , die mit dieser Konfigurationsrichtlinie verknüpft sind. Konten und OUs können durch direkte Anwendung oder Vererbung von einem Elternteil mit einer Konfigurationsrichtlinie verknüpft werden.

   **Um die Werte der Steuerparameter in einer vorhandenen Konfigurationsrichtlinie anzupassen**

   1. Geben Sie im Abschnitt **Steuerelemente** unter **Benutzerdefinierte Richtlinie** die gewünschten neuen benutzerdefinierten Parameterwerte an.

   1. Wenn Sie in dieser Richtlinie zum ersten Mal Steuerparameter anpassen, wählen Sie **Steuerparameter anpassen aus und wählen Sie dann ein Steuerelement** aus, das Sie anpassen möchten. Um die Parameter für weitere Steuerelemente anzupassen, wählen Sie **Zusätzliche Steuerung anpassen**.

   1. Überprüfen Sie im Abschnitt **Konten** die Konten oder OUs die Konten, auf die Sie die Richtlinie anwenden möchten.

   1. Wählen Sie **Weiter** aus.

   1. Überprüfe deine Änderungen und vergewissere dich, dass sie korrekt sind. Wenn Sie fertig sind, wählen Sie **Richtlinie speichern und anwenden**. In Ihrer Heimatregion und allen verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft OUs , die mit dieser Konfigurationsrichtlinie verknüpft sind. Konten und OUs können durch direkte Anwendung oder Vererbung von einem Elternteil mit einer Konfigurationsrichtlinie verknüpft werden.

------
#### [ Security Hub CSPM API ]

**Zum Anpassen von Steuerparameterwerten in mehreren Konten und Regionen (API)**

**Um eine neue Konfigurationsrichtlinie mit benutzerdefinierten Steuerparameterwerten zu erstellen**

1. Rufen Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API über das delegierte Administratorkonto in der Heimatregion auf.

1. Geben Sie für das `SecurityControlCustomParameters` Objekt die ID der einzelnen Steuerelemente an, die Sie anpassen möchten.

1. Geben Sie für das `Parameters` Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes `CUSTOM` an`ValueType`. Geben Sie für `Value` den Datentyp des Parameters und den benutzerdefinierten Wert an. Das `Value` Feld darf nicht leer sein, wenn `ValueType` es leer ist`CUSTOM`. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API aufrufen.

**Um die Werte der Steuerparameter in einer vorhandenen Konfigurationsrichtlinie anzupassen**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API über das delegierte Administratorkonto in der Heimatregion auf.

1. Geben Sie für das `Identifier` Feld den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie ein, die Sie aktualisieren möchten.

1. Geben Sie für das `SecurityControlCustomParameters` Objekt die ID der einzelnen Steuerelemente an, die Sie anpassen möchten.

1. Geben Sie für das `Parameters` Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes `CUSTOM` an`ValueType`. Geben Sie für `Value` den Datentyp des Parameters und den benutzerdefinierten Wert an. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API aufrufen.

Mit dem folgenden AWS CLI Befehl wird beispielsweise eine neue Konfigurationsrichtlinie mit einem benutzerdefinierten Wert für den `daysToExpiration` Parameter von `ACM.1` erstellt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```

------

## Anpassen der Steuerparameter in einem einzigen Konto und einer Region
<a name="customize-control-parameters-local-config"></a>

Wenn Sie keine zentrale Konfiguration verwenden oder über ein selbstverwaltetes Konto verfügen, können Sie die Steuerparameter für Ihr Konto jeweils nur in einer Region anpassen.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zur Anpassung der Steuerparameter. Ihre Änderungen gelten nur für Ihr Konto in der aktuellen Region. Um die Steuerungsparameter in weiteren Regionen anzupassen, wiederholen Sie die folgenden Schritte für jedes weitere Konto und jede Region, in der Sie die Parameter anpassen möchten. Das gleiche Steuerelement kann in verschiedenen Regionen unterschiedliche Parameterwerte verwenden.

------
#### [ Security Hub CSPM console ]

**Um die Werte der Steuerparameter in einem Konto und einer Region (Konsole) anzupassen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich Controls aus.** Wählen Sie in der Tabelle ein Steuerelement aus, das benutzerdefinierte Parameter unterstützt und für das Sie die Parameter ändern möchten. In der Spalte **Benutzerdefinierte Parameter** wird angegeben, welche Steuerelemente benutzerdefinierte Parameter unterstützen.

1. Wählen Sie auf der Detailseite für das Steuerelement die Registerkarte **Parameter** und dann **Bearbeiten** aus.

1. Geben Sie die gewünschten Parameterwerte an.

1. Wählen Sie optional im Abschnitt **Grund für die Änderung** einen Grund für die Anpassung der Parameter aus.

1. Wählen Sie **Speichern**.

------
#### [ Security Hub CSPM API ]

**Um die Werte der Steuerparameter in einem Konto und einer Region (API) anzupassen**

1. Rufen Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)API auf.

1. Geben Sie für `SecurityControlId` die ID des Steuerelements an, das Sie anpassen möchten.

1. Geben Sie für das `Parameters` Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes `CUSTOM` an`ValueType`. Geben Sie für `Value` den Datentyp des Parameters und den benutzerdefinierten Wert an. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API aufrufen.

1. Geben Sie optional für `LastUpdateReason` einen Grund für die Anpassung der Steuerparameter an.

Der folgende AWS CLI Befehl definiert beispielsweise einen benutzerdefinierten Wert für den `daysToExpiration` Parameter von`ACM.1`. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```

------

# Rückkehr zu den Standardwerten der Steuerparameter
<a name="revert-default-parameter-values"></a>

Ein Steuerparameter kann einen Standardwert haben, den AWS Security Hub CSPM definiert. Gelegentlich aktualisiert Security Hub CSPM den Standardwert für einen Parameter, um den sich entwickelnden bewährten Sicherheitsmethoden Rechnung zu tragen. Wenn Sie keinen benutzerdefinierten Wert für einen Steuerparameter angegeben haben, verfolgt das Steuerelement diese Aktualisierungen automatisch und verwendet den neuen Standardwert.

Sie können zur Verwendung der Standardparameterwerte für ein Steuerelement zurückkehren. Die Anweisungen für die Umkehrung hängen davon ab, ob Sie die [zentrale Konfiguration](central-configuration-intro.md) in Security Hub CSPM verwenden. Die zentrale Konfiguration ist eine Funktion, mit der der delegierte Security Hub CSPM-Administrator die Security Hub CSPM-Funktionen für Konten und Organisationseinheiten AWS-Regionen konfigurieren kann (). OUs

**Anmerkung**  
Nicht alle Steuerparameter haben einen standardmäßigen Security Hub CSPM-Wert. In solchen Fällen, wenn auf gesetzt `ValueType` ist`DEFAULT`, gibt es keinen bestimmten Standardwert, den Security Hub CSPM verwendet. Stattdessen ignoriert Security Hub CSPM den Parameter, wenn kein benutzerdefinierter Wert vorhanden ist.

## Rückkehr zu den Standardsteuerungsparametern in mehreren Konten und Regionen
<a name="revert-default-parameter-values-central-config"></a>

Wenn Sie die zentrale Konfiguration verwenden, können Sie die Steuerparameter für mehrere zentral verwaltete Konten sowie für die Heimatregion und OUs verknüpfte Regionen wiederherstellen.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um mithilfe der zentralen Konfiguration zu den Standardparameterwerten für mehrere Konten und Regionen zurückzukehren.

------
#### [ Security Hub CSPM console ]

**So kehren Sie in mehreren Konten und Regionen zu den Standardwerten der Steuerparameter zurück (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

1. **Wählen Sie im Navigationsbereich **Einstellungen und Konfiguration aus.****

1. Wählen Sie die Registerkarte **Policies**.

1. Wählen Sie eine Richtlinie aus und klicken Sie dann auf **Bearbeiten**. 

1. Unter **Benutzerdefinierte Richtlinie** wird im Abschnitt **Steuerelemente** eine Liste der Steuerelemente angezeigt, für die Sie benutzerdefinierte Parameter angegeben haben.

1. Suchen Sie das Steuerelement mit einem oder mehreren Parameterwerten, die rückgängig gemacht werden sollen. Wählen Sie dann **Entfernen**, um zu den Standardwerten zurückzukehren.

1. Überprüfen Sie im Abschnitt **Konten** die Konten oder die Konten OUs , auf die Sie die Richtlinie anwenden möchten.

1. Wählen Sie **Weiter** aus.

1. Überprüfe deine Änderungen und vergewissere dich, dass sie korrekt sind. Wenn Sie fertig sind, wählen Sie **Richtlinie speichern und anwenden**. In Ihrer Heimatregion und allen verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft OUs , die mit dieser Konfigurationsrichtlinie verknüpft sind. Konten und OUs können durch direkte Anwendung oder Vererbung von einem Elternteil mit einer Konfigurationsrichtlinie verknüpft werden.

------
#### [ Security Hub CSPM API ]

**Um zu den Standardwerten der Steuerparameter in mehreren Konten und Regionen zurückzukehren (API)**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API über das delegierte Administratorkonto in der Heimatregion auf.

1. Geben Sie für das `Identifier` Feld den Amazon-Ressourcennamen (ARN) oder die ID der Richtlinie ein, die Sie aktualisieren möchten.

1. Geben Sie für das `SecurityControlCustomParameters` Objekt die ID jedes Steuerelements an, für das Sie einen oder mehrere Parameter rückgängig machen möchten.

1. Geben Sie im `Parameters` Objekt für jeden Parameter, den Sie rückgängig machen möchten, das `ValueType` Feld `DEFAULT` an. Wenn auf gesetzt `ValueType` ist`DEFAULT`, müssen Sie keinen Wert für das `Value` Feld angeben. Wenn in Ihrer Anfrage ein Wert enthalten ist, ignoriert Security Hub CSPM ihn. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei.

**Warnung**  
Wenn Sie ein Kontrollobjekt aus dem `SecurityControlCustomParameters` Feld weglassen, setzt Security Hub CSPM alle benutzerdefinierten Parameter für das Steuerelement auf ihre Standardwerte zurück. Eine völlig leere Liste für `SecurityControlCustomParameters` setzt benutzerdefinierte Parameter für alle Steuerelemente auf ihre Standardwerte zurück.

Mit dem folgenden AWS CLI Befehl wird beispielsweise der `daysToExpiration` Steuerparameter für `ACM.1` auf seinen Standardwert in der angegebenen Konfigurationsrichtlinie zurückgesetzt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```

------

## Zurücksetzen auf die Standardsteuerungsparameter in einem einzigen Konto und einer Region
<a name="revert-default-parameter-values-local-config"></a>

Wenn Sie keine zentrale Konfiguration verwenden oder über ein selbstverwaltetes Konto verfügen, können Sie für Ihr Konto in jeweils einer Region wieder die Standardparameterwerte verwenden.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um zu den Standardparameterwerten für Ihr Konto in einer einzelnen Region zurückzukehren. Um in weiteren Regionen zu den Standardparameterwerten zurückzukehren, wiederholen Sie diese Schritte in jeder weiteren Region.

**Anmerkung**  
Wenn Sie Security Hub CSPM deaktivieren, werden Ihre benutzerdefinierten Steuerungsparameter zurückgesetzt. Wenn Sie Security Hub CSPM in future erneut aktivieren, verwenden alle Steuerelemente beim Start Standardparameterwerte.

------
#### [ Security Hub CSPM console ]

**Um zu den Standardwerten der Steuerparameter in einem Konto und einer Region (Konsole) zurückzukehren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich Controls aus.** Wählen Sie das Steuerelement aus, für das Sie die Standardparameterwerte wiederherstellen möchten.

1. **Wählen Sie auf der `Parameters` Registerkarte neben einem Steuerparameter die Option Benutzerdefiniert aus.** Wählen Sie dann **Anpassung entfernen** aus. Dieser Parameter verwendet jetzt den standardmäßigen Security Hub CSPM-Wert und verfolgt future Updates auf den Standardwert.

1. Wiederholen Sie den vorherigen Schritt für jeden Parameterwert, den Sie wiederherstellen möchten.

------
#### [ Security Hub CSPM API ]

**Um zu den Standardwerten der Steuerparameter in einem Konto und einer Region (API) zurückzukehren**

1. Rufen Sie die API auf [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html).

1. Geben Sie für `SecurityControlId` den ARN oder die ID des Steuerelements an, dessen Parameter Sie rückgängig machen möchten.

1. Geben Sie im `Parameters` Objekt für jeden Parameter, den Sie rückgängig machen möchten, das `ValueType` Feld `DEFAULT` an. Wenn auf gesetzt `ValueType` ist`DEFAULT`, müssen Sie keinen Wert für das `Value` Feld angeben. Wenn in Ihrer Anfrage ein Wert enthalten ist, ignoriert Security Hub CSPM ihn.

1. Geben Sie optional einen Grund für `LastUpdateReason` die Rückkehr zu den Standardparameterwerten an.

Mit dem folgenden AWS CLI Befehl wird beispielsweise der `daysToExpiration` Steuerparameter für `ACM.1` auf seinen Standardwert zurückgesetzt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```

------

# Überprüfung des Status von Änderungen der Steuerparameter
<a name="parameter-update-status"></a>

Wenn Sie versuchen, einen Steuerparameter anzupassen oder den Standardwert wiederherzustellen, können Sie überprüfen, ob die gewünschten Änderungen wirksam waren. Dadurch wird sichergestellt, dass ein Steuerelement erwartungsgemäß funktioniert und den gewünschten Sicherheitswert bietet. Wenn ein Parameter-Update nicht erfolgreich ist, behält Security Hub CSPM den aktuellen Wert für den Parameter bei.

Um zu überprüfen, ob ein Parameter-Update erfolgreich war, können Sie die Details der Steuerung auf der Security Hub CSPM-Konsole überprüfen. Wählen Sie auf der Konsole im Navigationsbereich **Controls** aus. Wählen Sie dann ein Steuerelement aus, um dessen Details anzuzeigen. Auf der Registerkarte **Parameter** wird der Status der Parameteränderung angezeigt.

Wenn Ihre Anfrage zur Aktualisierung eines Parameters gültig ist, ist der Wert des `UpdateStatus` Felds programmgesteuert eine Antwort auf den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)Vorgang. `UPDATING` Das bedeutet, dass die Aktualisierung gültig war, aber möglicherweise noch nicht alle Ergebnisse die aktualisierten Parameterwerte enthalten. Wenn sich der Wert von `UpdateState` ändert`READY`, verwendet Security Hub CSPM die aktualisierten Steuerparameterwerte bei der Ausführung von Sicherheitsprüfungen des Steuerelements. Zu den Ergebnissen gehören die aktualisierten Parameterwerte.

Die `UpdateSecurityControl` Operation gibt eine `InvalidInputException` Antwort für ungültige Parameterwerte zurück. Die Antwort enthält zusätzliche Details zur Ursache des Fehlers. Möglicherweise haben Sie einen Wert angegeben, der außerhalb des gültigen Bereichs für einen Parameter liegt. Oder Sie haben möglicherweise einen Wert angegeben, der nicht den richtigen Datentyp verwendet. Senden Sie Ihre Anfrage erneut mit einer gültigen Eingabe.

Wenn beim Versuch, einen Parameterwert zu aktualisieren, ein interner Fehler auftritt, versucht Security Hub CSPM es automatisch erneut, sofern Sie es aktiviert haben. AWS Config Weitere Informationen finden Sie unter [Überlegungen vor der Aktivierung und Konfiguration AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

# Überprüfung und Verwaltung der Kontrollergebnisse in Security Hub CSPM
<a name="securityhub-control-manage-findings"></a>

Auf der Seite mit den Kontrolldetails wird eine Liste der aktiven Ergebnisse für eine Kontrolle angezeigt. Die Liste enthält keine archivierten Ergebnisse.

Die Seite mit den Kontrolldetails unterstützt die regionsübergreifende Aggregation. Wenn Sie eine Aggregationsregion festgelegt haben, enthalten der Kontrollstatus und die Liste der Sicherheitsüberprüfungen auf der Seite mit den Kontrolldetails die Prüfungen aller verknüpften Kontrollen. AWS-Regionen

Die Liste enthält Tools zum Filtern und Sortieren der Ergebnisse, sodass Sie sich zuerst auf dringendere Ergebnisse konzentrieren können. Ein Ergebnis kann Links zu Ressourcendetails in der entsprechenden Servicekonsole enthalten. Bei Steuerelementen, die auf AWS Config Regeln basieren, können Sie sich Details zu der Regel anzeigen lassen.

Sie können auch die AWS Security Hub CSPM-API verwenden, um eine Liste mit Ergebnissen und Ergebnisdetails abzurufen.

Weitere Informationen finden Sie unter [Details und Verlauf der Ergebnisse überprüfen](securityhub-findings-viewing.md#finding-view-details-console).

Um den aktuellen Status Ihrer Untersuchung eines Kontrollbefundes widerzuspiegeln, legen Sie den Workflow-Status fest. Weitere Informationen finden Sie unter [Den Workflow-Status von Ergebnissen in Security Hub CSPM festlegen](findings-workflow-status.md).

Sie können auch ausgewählte Security Hub CSPM-Ergebnisse an eine benutzerdefinierte Aktion in Amazon senden. EventBridge Weitere Informationen finden Sie unter [Ergebnisse an eine benutzerdefinierte Security Hub CSPM-Aktion senden](findings-custom-action.md).

**Topics**
+ [

# Filterung und Sortierung der Kontrollergebnisse
](control-finding-list.md)
+ [

# Stichproben von Kontrollbefunden
](sample-control-findings.md)

# Filterung und Sortierung der Kontrollergebnisse
<a name="control-finding-list"></a>

Wenn Sie ein Steuerelement auf der **Kontrollseite** der AWS Security Hub CSPM-Konsole oder auf der Detailseite eines Standards auswählen, gelangen Sie zur Seite mit den Kontrolldetails.

Auf der Seite mit den Kontrolldetails werden der Titel und die Beschreibung der Kontrolle, der allgemeine Kontrollstatus und eine Aufschlüsselung der Sicherheitschecks für die Kontrolle in den letzten 24 Stunden angezeigt.

Verwenden Sie die Option „**Nach filtern**“ neben der Liste der Kontrollprüfungen, um sich schnell auf Ergebnisse mit einem bestimmten [Workflow](findings-workflow-status.md) - oder [Compliance-Status](controls-overall-status.md#controls-overall-status-compliance-status) zu konzentrieren.

Zusätzlich zu den Optionen **Filtern nach** können Sie das Feld **Filter hinzufügen** verwenden, um die Prüfliste nach anderen Feldern wie AWS-Konto ID oder Ressourcen-ID zu filtern.

Standardmäßig werden Ergebnisse mit dem Konformitätsstatus **BESTANDEN** zuerst aufgeführt. Sie können die Standardsortierung ändern, indem Sie in den Spaltenüberschriften eine andere Option auswählen.

Auf der Seite mit den Kontrolldetails können Sie **Herunterladen** wählen, um die aktuelle Seite mit den Kontrollergebnissen in eine CSV-Datei herunterzuladen.

Wenn Sie die Ergebnisliste filtern, umfasst der Download nur die Steuerelemente, die dem Filter entsprechen. Wenn Sie bestimmte Ergebnisse aus der Liste auswählen, enthält der Download nur die ausgewählten Ergebnisse.

Weitere Informationen zum Filtern von Ergebnissen finden Sie unter[Ergebnisse im Security Hub CSPM filtern](securityhub-findings-manage.md).

# Stichproben von Kontrollbefunden
<a name="sample-control-findings"></a>

Die folgenden Beispiele enthalten Beispiele für Ergebnisse der AWS Security Hub CSPM-Steuerung im AWS Security Finding Format (ASFF). Der Inhalt der Kontrollergebnisse hängt davon ab, ob Sie konsolidierte Kontrollergebnisse aktiviert haben.

Wenn Sie konsolidierte Kontrollergebnisse aktivieren, generiert Security Hub CSPM ein einzelnes Ergebnis für eine Kontrolle, auch wenn die Kontrolle für mehrere aktivierte Standards gilt. Wenn Sie diese Funktion nicht aktivieren, generiert Security Hub CSPM für jeden aktivierten Standard, für den ein Steuerelement gilt, einen separaten Kontrollbefund. Wenn Sie beispielsweise zwei Standards aktivieren und eine Kontrolle für beide gilt, erhalten Sie zwei separate Ergebnisse für die Kontrolle, einen für jeden Standard. Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erhalten Sie nur ein Ergebnis für die Kontrolle. Weitere Informationen finden Sie unter [Konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings).

Die Beispiele auf dieser Seite enthalten Beispiele für beide Szenarien. Zu den Stichproben gehören: Kontrollergebnisse für einzelne Security Hub CSPM-Standards, wenn konsolidierte Kontrollergebnisse deaktiviert sind, und Kontrollbefunde für mehrere Security Hub CSPM-Standards, wenn konsolidierte Kontrollergebnisse aktiviert sind.

**Topics**
+ [

## Beispielergebnisse für den Standard „Best Practices für AWS grundlegende Sicherheit“
](#sample-finding-fsbp)
+ [

## Beispielbefund für CIS AWS Foundations Benchmark v5.0.0
](#sample-finding-cis-5)
+ [

## Beispielbefund für CIS AWS Foundations Benchmark v3.0.0
](#sample-finding-cis-3)
+ [

## Stichprobenergebnis für CIS AWS Foundations Benchmark v1.4.0
](#sample-finding-cis-1.4)
+ [

## Ergebnis eines Beispiels für CIS AWS Foundations Benchmark v1.2.0
](#sample-finding-cis-1.2)
+ [

## Stichprobenergebnis für den Standard NIST SP 800-53 Revision 5
](#sample-finding-nist-800-53)
+ [

## Stichprobenergebnis für den Standard NIST SP 800-171 Revision 2
](#sample-finding-nist-800-171)
+ [

## Ergebnis eines Beispiels für den Datensicherheitsstandard v3.2.1 der Payment Card Industry
](#sample-finding-pcidss-v321)
+ [

## Musterbefund für den AWS Resource Tagging-Standard
](#sample-finding-tagging)
+ [

## Stichprobenergebnis für den AWS Control Tower Service-Managed-Standard
](#sample-finding-service-managed-aws-control-tower)
+ [

## Stichprobe: konsolidiertes Ergebnis für mehrere Standards
](#sample-finding-consolidation)

**Anmerkung**  
Die Kontrollergebnisse beziehen sich auf verschiedene Felder und Werte in den Regionen China und den AWS GovCloud (US) Regionen. Weitere Informationen finden Sie unter [Auswirkungen der Konsolidierung auf ASFF-Felder und -Werte](asff-changes-consolidation.md).

## Beispielergebnisse für den Standard „Best Practices für AWS grundlegende Sicherheit“
<a name="sample-finding-fsbp"></a>

Das folgende Beispiel enthält ein Beispiel für ein Ergebnis für ein Steuerelement, das für den FSBP-Standard ( AWS Foundational Security Best Practices) gilt. In diesem Beispiel ist die Option „Consolidated Control Findings“ deaktiviert.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
  ],
  "FirstObservedAt": "2020-08-06T02:18:23.076Z",
  "LastObservedAt": "2021-09-28T16:10:06.956Z",
  "CreatedAt": "2020-08-06T02:18:23.076Z",
  "UpdatedAt": "2021-09-28T16:10:00.093Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/aws-foundation-best-practices/v/1.0.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
    ]
  }
}
```

## Beispielbefund für CIS AWS Foundations Benchmark v5.0.0
<a name="sample-finding-cis-5"></a>

Das folgende Beispiel enthält ein Beispiel für ein Ergebnis für ein Steuerelement, das für CIS AWS Foundations Benchmark v5.0.0 gilt. In diesem Beispiel sind konsolidierte Kontrollergebnisse deaktiviert.

```
{
  "AwsAccountId": "123456789012",
  "CompanyName": "AWS",
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "EC2.7",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v5.0.0/5.1.1"
    ],
    "AssociatedStandards": [
      {
        "StandardsId": "standards/cis-aws-foundations-benchmark/v/5.0.0"
      }
    ]
  },
  "CreatedAt": "2025-10-10T17:04:00.952Z",
  "Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ],
    "Severity": {
      "Normalized": 40,
      "Label": "MEDIUM",
      "Product": 40,
      "Original": "MEDIUM"
    }
  },
  "FirstObservedAt": "2025-10-10T17:03:57.895Z",
  "GeneratorId": "cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
  "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
  "LastObservedAt": "2025-10-14T05:22:28.667Z",
  "ProcessedAt": "2025-10-14T05:22:50.099Z",
  "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub",
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/5.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0",
    "ControlId": "5.1.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
    "RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2a99554f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
    "Resources:0/Id": "arn:aws:iam::123456789012:root",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
    "PreviousComplianceStatus": "FAILED"
  },
  "ProductName": "Security Hub CSPM",
  "RecordState": "ACTIVE",
  "Region": "us-west-1",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
    }
  },
  "Resources": [
    {
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-west-1",
      "Type": "AwsAccount"
    }
  ],
  "SchemaVersion": "2018-10-08",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM",
    "Product": 40
  },
  "Title": "5.1.1 EBS default encryption should be enabled",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "UpdatedAt": "2025-10-14T05:22:38.671Z",
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW"
}
```

## Beispielbefund für CIS AWS Foundations Benchmark v3.0.0
<a name="sample-finding-cis-3"></a>

Das folgende Beispiel enthält ein Beispiel für ein Ergebnis für ein Steuerelement, das für CIS AWS Foundations Benchmark v3.0.0 gilt. In diesem Beispiel sind konsolidierte Kontrollergebnisse deaktiviert.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2024-04-18T07:46:18.193Z",
  "LastObservedAt": "2024-04-23T07:47:01.137Z",
  "CreatedAt": "2024-04-18T07:46:18.193Z",
  "UpdatedAt": "2024-04-23T07:46:46.165Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "2.2.1 EBS default encryption should be enabled",
  "Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/3.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0",
    "ControlId": "2.2.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
    "RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2843ed9e",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
    "Resources:0/Id": "arn:aws:iam::123456789012:root",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c"
  },
  "Resources": [
    {
      "Type": "AwsAccount",
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v3.0.0/2.2.1"
    ],
    "SecurityControlId": "EC2.7",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"
      }
    ]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  },
  "ProcessedAt": "2024-04-23T07:47:07.088Z"
}
```

## Stichprobenergebnis für CIS AWS Foundations Benchmark v1.4.0
<a name="sample-finding-cis-1.4"></a>

Das folgende Beispiel enthält ein Beispiel für ein Ergebnis für ein Steuerelement, das für CIS AWS Foundations Benchmark v1.4.0 gilt. In diesem Beispiel sind konsolidierte Kontrollergebnisse deaktiviert.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "cis-aws-foundations-benchmark/v/1.4.0/3.7",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2022-10-21T22:14:48.913Z",
  "LastObservedAt": "2022-12-22T22:24:56.980Z",
  "CreatedAt": "2022-10-21T22:14:48.913Z",
  "UpdatedAt": "2022-12-22T22:24:52.409Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "3.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
  "Description": "AWS CloudTrail is a web service that records AWS API calls for an account and makes those logs available to users and resources in accordance with IAM policies. AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and AWS KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0",
    "ControlId": "3.7",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-855f82d1",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/1.4.0/3.7",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v1.4.0/3.7"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  }
}
```

## Ergebnis eines Beispiels für CIS AWS Foundations Benchmark v1.2.0
<a name="sample-finding-cis-1.2"></a>

Das folgende Beispiel enthält ein Beispiel für ein Ergebnis für ein Steuerelement, das für CIS AWS Foundations Benchmark v1.2.0 gilt. In diesem Beispiel sind konsolidierte Kontrollergebnisse deaktiviert.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.7",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2020-08-29T04:10:06.337Z",
  "LastObservedAt": "2021-09-28T16:10:05.350Z",
  "CreatedAt": "2020-08-29T04:10:06.337Z",
  "UpdatedAt": "2021-09-28T16:10:00.087Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "2.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
  "Description": "AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0",
    "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0",
    "RuleId": "2.7",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/2.7",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  }
}
```

## Stichprobenergebnis für den Standard NIST SP 800-53 Revision 5
<a name="sample-finding-nist-800-53"></a>

Das folgende Beispiel enthält ein Beispiel für ein Ergebnis für eine Kontrolle, die für den Standard NIST SP 800-53 Revision 5 gilt. In diesem Beispiel sind konsolidierte Kontrollergebnisse deaktiviert.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "nist-800-53/v/5.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2023-02-17T14:22:46.726Z",
  "LastObservedAt": "2023-02-17T14:22:50.846Z",
  "CreatedAt": "2023-02-17T14:22:46.726Z",
  "UpdatedAt": "2023-02-17T14:22:46.726Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to fix this issue, consult the AWS Security Hub CSPM NIST 800-53 R5 documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/nist-800-53/v/5.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.9/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",

      "Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",

      "Partition": "aws",

      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
        "NIST.800-53.r5 AU-9",
        "NIST.800-53.r5 CA-9(1)",
        "NIST.800-53.r5 CM-3(6)",
        "NIST.800-53.r5 SC-13",
        "NIST.800-53.r5 SC-28",
        "NIST.800-53.r5 SC-28(1)",
        "NIST.800-53.r5 SC-7(10)",
        "NIST.800-53.r5 SI-7(6)"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/nist-800-53/v/5.0.0"
      }
    ]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  },
  "ProcessedAt": "2023-02-17T14:22:53.572Z"
}
```

## Stichprobenergebnis für den Standard NIST SP 800-171 Revision 2
<a name="sample-finding-nist-800-171"></a>

Das folgende Beispiel enthält ein Beispiel für ein Ergebnis für eine Kontrolle, das für den Standard NIST SP 800-171 Revision 2 gilt. In diesem Beispiel sind konsolidierte Kontrollergebnisse deaktiviert.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "nist-800-171/v/2.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "AwsAccountName": "TestAcct",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2025-05-29T05:23:58.690Z",
  "LastObservedAt": "2025-05-30T05:50:11.898Z",
  "CreatedAt": "2025-05-29T05:24:24.772Z",
  "UpdatedAt": "2025-05-30T05:50:34.292Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/nist-800-171/v/2.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-0ab1c2d4",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/nist-800-171/v/2.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
      "Partition": "aws",
      "Region": "us-east-1",
      "Type": "AwsCloudTrailTrail"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "RelatedRequirements": [
      "NIST.800-171.r2/3.3.8"
    ],
    "AssociatedStandards": [
      {
        "StandardsId": "standards/nist-800-171/v/2.0.0"
      }
    ]
  },
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW",
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ],
    "Severity": {
      "Product": 40,
      "Label": "MEDIUM",
      "Normalized": 40,
      "Original": "MEDIUM"
    }
  },
  "ProcessedAt": "2025-05-30T05:50:40.297Z"
}
```

## Ergebnis eines Beispiels für den Datensicherheitsstandard v3.2.1 der Payment Card Industry
<a name="sample-finding-pcidss-v321"></a>

Das folgende Beispiel enthält ein Beispiel für ein Ergebnis für ein Steuerelement, das für den Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 gilt. In diesem Beispiel sind konsolidierte Kontrollergebnisse deaktiviert.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "pci-dss/v/3.2.1/PCI.CloudTrail.1",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
  ],
  "FirstObservedAt": "2020-08-06T02:18:23.089Z",
  "LastObservedAt": "2021-09-28T16:10:06.942Z",
  "CreatedAt": "2020-08-06T02:18:23.089Z",
  "UpdatedAt": "2021-09-28T16:10:00.090Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "PCI.CloudTrail.1 CloudTrail logs should be encrypted at rest using AWS KMS CMKs",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption by checking if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1",
    "ControlId": "PCI.CloudTrail.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/pci-dss/v/3.2.1/PCI.CloudTrail.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "PCI DSS 3.4"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/pci-dss/v/3.2.1"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
    ]
  }
}
```

## Musterbefund für den AWS Resource Tagging-Standard
<a name="sample-finding-tagging"></a>

Das folgende Beispiel enthält ein Beispiel für ein Ergebnis für ein Steuerelement, das für den AWS Resource Tagging-Standard gilt. In diesem Beispiel sind konsolidierte Kontrollergebnisse deaktiviert.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "eu-central-1",
  "GeneratorId": "security-control/EC2.44",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2024-02-19T21:00:32.206Z",
  "LastObservedAt": "2024-04-29T13:01:57.861Z",
  "CreatedAt": "2024-02-19T21:00:32.206Z",
  "UpdatedAt": "2024-04-29T13:01:41.242Z",
  "Severity": {
    "Label": "LOW",
    "Normalized": 1,
    "Original": "LOW"
  },
  "Title": "EC2 subnets should be tagged",
  "Description": "This control checks whether an Amazon EC2 subnet has tags with the specific keys defined in the parameter requiredTagKeys. The control fails if the subnet doesn't have any tag keys or if it doesn't have all the keys specified in the parameter requiredTagKeys. If the parameter requiredTagKeys isn't provided, the control only checks for the existence of a tag key and fails if the subnet isn't tagged with any key. System tags, which are automatically applied and begin with aws:, are ignored.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.44/remediation"
    }
  },
  "ProductFields": {
    "RelatedAWSResources:0/name": "securityhub-tagged-ec2-subnet-6ceafede",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "No tags are present.",
    "Resources:0/Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
    "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsEc2Subnet",
      "Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
      "Partition": "aws",
      "Region": "eu-central-1",
      "Details": {
        "AwsEc2Subnet": {
          "AssignIpv6AddressOnCreation": false,
          "AvailabilityZone": "eu-central-1b",
          "AvailabilityZoneId": "euc1-az3",
          "AvailableIpAddressCount": 4091,
          "CidrBlock": "10.24.34.0/23",
          "DefaultForAz": true,
          "MapPublicIpOnLaunch": true,
          "OwnerId": "123456789012",
          "State": "available",
          "SubnetArn": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
          "SubnetId": "subnet-1234567890abcdef0",
          "VpcId": "vpc-021345abcdef6789"
        }
      }
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "EC2.44",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/aws-resource-tagging-standard/v/1.0.0"
      }
    ],
    "SecurityControlParameters": [
      {
        "Name": "requiredTagKeys",
        "Value": [
          "peepoo"
        ]
      }
    ],
            },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW",
      "Original": "LOW"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  },
  "ProcessedAt": "2024-04-29T13:02:03.259Z"
}
```

## Stichprobenergebnis für den AWS Control Tower Service-Managed-Standard
<a name="sample-finding-service-managed-aws-control-tower"></a>

Das folgende Beispiel enthält ein Beispiel für ein Ergebnis für ein Steuerelement, das für den vom AWS Control Tower Service verwalteten Standard gilt. In diesem Beispiel sind konsolidierte Kontrollergebnisse deaktiviert.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2022-11-17T01:25:30.296Z",
  "LastObservedAt": "2022-11-17T01:25:45.805Z",
  "CreatedAt": "2022-11-17T01:25:30.296Z",
  "UpdatedAt": "2022-11-17T01:25:30.296Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CT.CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0",
    "ControlId": "CT.CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWSMacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsAccount",
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  }
}
```

## Stichprobe: konsolidiertes Ergebnis für mehrere Standards
<a name="sample-finding-consolidation"></a>

Das folgende Beispiel enthält ein Beispiel für ein Ergebnis für ein Steuerelement, das für mehrere aktivierte Standards gilt. In diesem Beispiel sind konsolidierte Kontrollergebnisse aktiviert.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "security-control/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2024-08-09T14:57:04.521Z",
  "LastObservedAt": "2025-05-30T03:30:17.407Z",
  "CreatedAt": "2024-08-09T14:57:04.521Z",
  "UpdatedAt": "2025-05-30T03:30:32.781Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-01a2b345",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "aws/securityhub/ProductName": "Security Hub",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
      "Partition": "aws",
      "Region": "us-east-1",
      "Details": {
        "AwsCloudTrailTrail": {
          "HasCustomEventSelectors": false,
          "IncludeGlobalServiceEvents": true,
          "LogFileValidationEnabled": true,
          "HomeRegion": "us-east-1",
          "IsMultiRegionTrail": true,
          "S3BucketName": "cloudtrail-awslogs-do-not-delete",
          "IsOrganizationTrail": false,
          "Name": "TestTrail-DO-NOT-DELETE"
        }
      }
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v1.2.0/2.7",
      "CIS AWS Foundations Benchmark v1.4.0/3.7",
      "CIS AWS Foundations Benchmark v3.0.0/3.5",
      "NIST.800-171.r2/3.3.8",
      "PCI DSS v3.2.1/3.4",
      "PCI DSS v4.0.1/10.3.2"
    ],
    "AssociatedStandards": [
      { "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"},
      { "StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
      { "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"},
      { "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"},
      { "StandardsId": "standards/nist-800-171/v/2.0.0"},
      { "StandardsId": "standards/pci-dss/v/3.2.1"},
      { "StandardsId": "standards/pci-dss/v/4.0.1"}
    ]
  },
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW",
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ],
    "Severity": {
      "Normalized": 40,
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    }
  },
  "ProcessedAt": "2025-05-30T03:31:00.831Z"
}
```

# Integrationen in Security Hub CSPM verstehen
<a name="securityhub-findings-providers"></a>

AWS Security Hub CSPM kann Sicherheitsergebnisse von mehreren AWS-Services und unterstützten Sicherheitslösungen von Drittanbietern AWS Partner Network aufnehmen. Diese Integrationen können Ihnen helfen, sich einen umfassenden Überblick über Sicherheit und Compliance in Ihrer gesamten Umgebung zu verschaffen. AWS Security Hub CSPM nimmt Erkenntnisse aus integrierten Lösungen auf und konvertiert sie in das AWS Security Finding Format (ASFF).

**Wichtig**  
Bei unterstützten Produktintegrationen AWS und Integrationen von Drittanbietern empfängt und konsolidiert Security Hub CSPM die Ergebnisse, die erst generiert werden, nachdem Sie Security Hub CSPM für Ihren aktiviert haben. AWS-Konten Der Service empfängt und konsolidiert nicht rückwirkend Sicherheitserkenntnisse, die vor der Aktivierung von Security Hub CSPM generiert wurden.

Die Seite **Integrationen** der Security Hub CSPM-Konsole bietet Zugriff auf verfügbare Produktintegrationen AWS und Produktintegrationen von Drittanbietern. Die Security Hub CSPM-API bietet auch Funktionen zur Verwaltung von Integrationen.

Eine Integration ist möglicherweise nicht in allen verfügbar. AWS-Regionen Wenn eine Integration in der Region, in der Sie derzeit angemeldet sind, auf der Security Hub CSPM-Konsole nicht unterstützt wird, wird sie nicht auf der **Integrationsseite** der Konsole angezeigt. Eine Liste der Integrationen, die in den Regionen China und verfügbar sind AWS GovCloud (US) Regions, finden Sie unter[Verfügbarkeit von Integrationen nach Regionen](securityhub-regions.md#securityhub-regions-integration-support).

Zusätzlich zu den AWS-Service integrierten Integrationen von Drittanbietern können Sie benutzerdefinierte Sicherheitsprodukte in Security Hub CSPM integrieren. Anschließend können Sie die Ergebnisse dieser Produkte mithilfe der Security Hub CSPM-API an Security Hub CSPM senden. Sie können die API auch verwenden, um bestehende Ergebnisse zu aktualisieren, die Security Hub CSPM von einem benutzerdefinierten Sicherheitsprodukt erhalten hat.

**Topics**
+ [

# Überprüfung einer Liste der Security Hub CSPM-Integrationen
](securityhub-integrations-view-filter.md)
+ [

# Den Fluss von Erkenntnissen aus einer Security Hub CSPM-Integration ermöglichen
](securityhub-integration-enable.md)
+ [

# Deaktivierung des Erkenntnisflusses aus einer Security Hub CSPM-Integration
](securityhub-integration-disable.md)
+ [

# Ergebnisse einer Security Hub CSPM-Integration anzeigen
](securityhub-integration-view-findings.md)
+ [

# AWS-Service Integrationen mit Security Hub CSPM
](securityhub-internal-providers.md)
+ [

# Produktintegrationen von Drittanbietern mit Security Hub CSPM
](securityhub-partner-providers.md)
+ [

# Integration von Security Hub CSPM mit kundenspezifischen Produkten
](securityhub-custom-providers.md)

# Überprüfung einer Liste der Security Hub CSPM-Integrationen
<a name="securityhub-integrations-view-filter"></a>

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um eine Liste der Integrationen in AWS Security Hub CSPM oder Details zu einer bestimmten Integration einzusehen.

------
#### [ Security Hub CSPM console ]

**Um die Integrationsoptionen und Details zu überprüfen (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Security Hub CSPM-Navigationsbereich Integrationen aus.**

Auf der Seite **Integrationen** AWS-Services werden Integrationen mit anderen zuerst aufgeführt, gefolgt von Integrationen mit Produkten von Drittanbietern.

Für jede Integration enthält die Seite **Integrationen** die folgenden Informationen:
+ Der Name des Unternehmens
+ Der Name des Produkts.
+ Eine Beschreibung der Integration.
+ Die Kategorien, für die die Integration gilt
+ So aktivieren Sie die Integration:
+ Der aktuelle Status der Integration

Sie können die Liste filtern, indem Sie Text aus den folgenden Feldern eingeben:
+ Unternehmensname
+ Product Name (Produktname)
+ Beschreibung der Integration
+ Kategorien

------
#### [ Security Hub CSPM API ]

**Um die Integrationsoptionen und Details (API) zu überprüfen**

Verwenden Sie den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html)Vorgang, um eine Liste der Integrationen zu erhalten. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html)Befehl aus.

Um Details für eine bestimmte Produktintegration abzurufen, verwenden Sie den `ProductArn` Parameter, um den Amazon-Ressourcennamen (ARN) der Integration anzugeben.

Mit dem folgenden AWS CLI Befehl werden beispielsweise Details zur Security Hub CSPM-Integration mit 3 abgerufen. CORESec

```
$ aws securityhub describe-products --product-arn "arn:aws:securityhub:us-east-1::product/3coresec/3coresec"
```

------

# Den Fluss von Erkenntnissen aus einer Security Hub CSPM-Integration ermöglichen
<a name="securityhub-integration-enable"></a>

Auf der Seite **Integrationen** der AWS Security Hub CSPM-Konsole sehen Sie die erforderlichen Schritte, um die einzelnen Integrationen zu aktivieren.

Bei den meisten Integrationen mit anderen AWS-Services ist der einzige erforderliche Schritt zur Aktivierung der Integration die Aktivierung des anderen Dienstes. Die Integrationsinformationen enthalten einen Link zur Homepage des anderen Dienstes. Wenn Sie den anderen Dienst aktivieren, wird automatisch eine Berechtigung auf Ressourcenebene erstellt und angewendet, die es Security Hub CSPM ermöglicht, Ergebnisse von dem Dienst zu empfangen.

Bei Produktintegrationen von Drittanbietern müssen Sie die Integration möglicherweise bei der erwerben und anschließend AWS Marketplace konfigurieren. Die Integrationsinformationen enthalten Links zur Ausführung dieser Aufgaben.

Wenn mehrere Versionen eines Produkts verfügbar sind AWS Marketplace, wählen Sie die Version aus, die Sie abonnieren möchten, und klicken Sie dann **auf Weiter abonnieren**. Einige Produkte bieten beispielsweise eine Standardversion und eine AWS GovCloud (US) Version an.

Wenn Sie eine Produktintegration aktivieren, wird dem Produktabonnement automatisch eine Ressourcenrichtlinie angefügt. Diese Ressourcenrichtlinie definiert die Berechtigungen, die Security Hub CSPM benötigt, um Ergebnisse aus diesem Produkt zu erhalten.

Nachdem Sie alle vorbereitenden Schritte zur Aktivierung einer Integration abgeschlossen haben, können Sie den Fluss der Ergebnisse aus dieser Integration deaktivieren und wieder aktivieren. Bei **Integrationen**, die Ergebnisse senden, geben die **Statusinformationen** auf der Seite Integrationen an, ob Sie derzeit Ergebnisse akzeptieren.

------
#### [ Security Hub CSPM console ]

**Um den Fluss von Erkenntnissen aus einer Integration (Konsole) zu ermöglichen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Security Hub CSPM-Navigationsbereich Integrationen aus.**

1. Bei Integrationen, die Ergebnisse senden, geben die **Statusinformationen** an, ob Security Hub CSPM derzeit Ergebnisse aus dieser Integration akzeptiert.

1. **Wählen Sie Ergebnisse akzeptieren aus.**

------
#### [ Security Hub CSPM API ]

Verwenden Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html)Operation. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html)Befehl aus. Damit Security Hub Ergebnisse aus einer Integration empfangen kann, benötigen Sie das Produkt ARN. Verwenden Sie den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html)Vorgang, um die ARNs für die verfügbaren Integrationen abzurufen. Wenn Sie den verwenden AWS CLI, führen Sie den aus. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html)

Mit dem folgenden AWS CLI Befehl kann Security Hub CSPM beispielsweise Ergebnisse aus der CrowdStrike Falcon-Integration empfangen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub enable-import-findings-for product --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"
```

------

# Deaktivierung des Erkenntnisflusses aus einer Security Hub CSPM-Integration
<a name="securityhub-integration-disable"></a>

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um den Fluss der Ergebnisse aus einer AWS Security Hub CSPM-Integration zu deaktivieren.

------
#### [ Security Hub CSPM console ]

**So deaktivieren Sie den Fluss der Ergebnisse aus einer Integration (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Security Hub CSPM-Navigationsbereich Integrationen aus.**

1. Bei Integrationen, die Ergebnisse senden, geben die **Statusinformationen** an, ob Security Hub CSPM derzeit Ergebnisse aus dieser Integration akzeptiert.

1. Wählen Sie **Beenden** der Annahme von Ergebnissen.

------
#### [ Security Hub CSPM API ]

Verwenden Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html)Operation. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html)Befehl aus. Um den Fluss der Ergebnisse einer Integration zu deaktivieren, benötigen Sie den Abonnement-ARN für die aktivierte Integration. Verwenden Sie den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html)Vorgang, um den Abonnement-ARN zu erhalten. Wenn Sie den verwenden AWS CLI, führen Sie den aus [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html).

Der folgende AWS CLI Befehl deaktiviert beispielsweise den Fluss von Ergebnissen aus der Falcon-Integration an Security Hub CSPM. CrowdStrike Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub disable-import-findings-for-product --product-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"
```

------

# Ergebnisse einer Security Hub CSPM-Integration anzeigen
<a name="securityhub-integration-view-findings"></a>

**Wenn Sie beginnen, Ergebnisse aus einer AWS Security Hub CSPM-Integration zu akzeptieren, zeigt die Seite **Integrationen** der Security Hub CSPM-Konsole den **Status** der Integration als Ergebnisse akzeptieren an.** **Um eine Liste der Ergebnisse der Integration einzusehen, wählen Sie Ergebnisse anzeigen.**

Die Ergebnisliste zeigt die aktiven Ergebnisse für die ausgewählte Integration mit dem Workflow-Status `NEW` oder `NOTIFIED`.

Wenn Sie die regionsübergreifende Aggregation aktivieren, enthält die Liste in der Aggregationsregion Ergebnisse aus der Aggregationsregion und aus verknüpften Regionen, in denen die Integration aktiviert ist. Security Hub aktiviert Integrationen nicht automatisch, die auf der regionsübergreifenden Aggregationskonfiguration basieren.

In anderen Regionen enthält die Ergebnisliste für eine Integration nur Ergebnisse aus der aktuellen Region.

Informationen zur Konfiguration der regionsübergreifenden Aggregation finden Sie unter. [Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM](finding-aggregation.md)

In der Ergebnisliste können Sie die folgenden Aktionen ausführen.
+ [Ändern der Filter und Gruppierung für die Liste](securityhub-findings-manage.md)
+ [Anzeigen der Details für einzelne Ergebnisse](securityhub-findings-viewing.md#finding-view-details-console)
+ [Aktualisieren des Workflow-Status der Ergebnisse](findings-workflow-status.md)
+ [Senden der Ergebnisse an benutzerdefinierte Aktionen](findings-custom-action.md)

# AWS-Service Integrationen mit Security Hub CSPM
<a name="securityhub-internal-providers"></a>

AWS Security Hub CSPM unterstützt Integrationen mit mehreren anderen. AWS-Services Diese Integrationen können Ihnen helfen, sich einen umfassenden Überblick über Sicherheit und Compliance in Ihrer gesamten Umgebung zu verschaffen. AWS 

Sofern unten nicht anders angegeben, werden AWS-Service Integrationen, die Ergebnisse an Security Hub CSPM senden, automatisch aktiviert, nachdem Sie Security Hub CSPM und den anderen Dienst aktiviert haben. Integrationen, die Security Hub CSPM-Ergebnisse erhalten, erfordern möglicherweise zusätzliche Schritte zur Aktivierung. Lesen Sie die Informationen zu den einzelnen Integrationen, um mehr zu erfahren.

Einige Integrationen sind nicht in allen AWS-Regionen verfügbar. Auf der Security Hub CSPM-Konsole wird eine Integration nicht auf der Seite **Integrationen** angezeigt, wenn sie in der aktuellen Region nicht unterstützt wird. Eine Liste der Integrationen, die in den Regionen China und verfügbar sind AWS GovCloud (US) Regions, finden Sie unter[Verfügbarkeit von Integrationen nach Regionen](securityhub-regions.md#securityhub-regions-integration-support).

## Überblick über die AWS Serviceintegrationen mit Security Hub CSPM
<a name="internal-integrations-summary"></a>

Die folgende Tabelle bietet einen Überblick über AWS Dienste, die Ergebnisse an Security Hub CSPM senden oder Ergebnisse von Security Hub CSPM empfangen.


| Integrierter Service AWS  | Richtung | 
| --- | --- | 
|  [AWS Config](#integration-config)  |  Sendet Ergebnisse  | 
|  [AWS Firewall Manager](#integration-aws-firewall-manager)  |  Sendet Ergebnisse  | 
|  [Amazon GuardDuty](#integration-amazon-guardduty)  |  Sendet Ergebnisse  | 
|  [AWS Health](#integration-health)  |  Sendet Ergebnisse  | 
|  [AWS Identity and Access Management Access Analyzer](#integration-iam-access-analyzer)  |  Sendet Ergebnisse  | 
|  [Amazon Inspector](#integration-amazon-inspector)  |  Sendet Ergebnisse  | 
|  [AWS IoT Device Defender](#integration-iot-device-defender)  |  Sendet Ergebnisse  | 
|  [Amazon Macie](#integration-amazon-macie)  |  Sendet Ergebnisse  | 
|  [Amazon Route 53 Resolver DNS-Firewall](#integration-amazon-r53rdnsfirewall)  |  Sendet Ergebnisse  | 
|  [AWS Systems Manager Patchmanager](#patch-manager)  |  Sendet Ergebnisse  | 
|  [AWS Audit Manager](#integration-aws-audit-manager)  |  Empfängt Ergebnisse  | 
|  [Amazon Q Developer in Chat-Anwendungen](#integration-chatbot)  |  Erhält Ergebnisse  | 
|  [Amazon Detective](#integration-amazon-detective)  |  Erhält Ergebnisse  | 
|  [Amazon Security Lake](#integration-security-lake)  |  Erhält Ergebnisse  | 
|  [AWS Systems Manager Entdecker und OpsCenter](#integration-ssm-explorer-opscenter)  |  Empfängt und aktualisiert die Ergebnisse  | 
|  [AWS Trusted Advisor](#integration-trusted-advisor)  |  Erhält Ergebnisse  | 

## AWS-Services die Ergebnisse an Security Hub CSPM senden
<a name="integrations-internal-send"></a>

Die folgenden Funktionen AWS-Services lassen sich in Security Hub CSPM integrieren und können Ergebnisse an Security Hub CSPM senden. Security Hub CSPM konvertiert die Ergebnisse in das [AWS Security Finding Format](securityhub-findings-format.md).

### AWS Config (Sendet Ergebnisse)
<a name="integration-config"></a>

AWS Config ist ein Service, mit dem Sie die Konfigurationen Ihrer AWS Ressourcen bewerten, prüfen und auswerten können. AWS Config überwacht und zeichnet Ihre AWS Ressourcenkonfigurationen kontinuierlich auf und ermöglicht es Ihnen, die Auswertung der aufgezeichneten Konfigurationen anhand der gewünschten Konfigurationen zu automatisieren.

Wenn Sie die Integration mit verwenden AWS Config, können Sie sich die Ergebnisse AWS Config verwalteter und benutzerdefinierter Regelauswertungen als Ergebnisse in Security Hub CSPM anzeigen lassen. Diese Ergebnisse können zusammen mit anderen CSPM-Ergebnissen von Security Hub eingesehen werden und bieten so einen umfassenden Überblick über Ihren Sicherheitsstatus.

AWS Config verwendet Amazon EventBridge , um AWS Config Regelauswertungen an Security Hub CSPM zu senden. Security Hub CSPM wandelt die Regelauswertungen in Ergebnisse um, die dem [AWS Security](securityhub-findings-format.md) Finding Format entsprechen. Security Hub CSPM bereichert die Ergebnisse dann nach bestem Wissen und Gewissen, indem weitere Informationen über die betroffenen Ressourcen abgerufen werden, z. B. der Amazon-Ressourcenname (ARN), die Ressourcen-Tags und das Erstellungsdatum.

Weitere Informationen zu dieser Integration finden Sie in den folgenden Abschnitten.

#### Wie AWS Config sendet man Ergebnisse an Security Hub CSPM
<a name="integration-config-how"></a>

Alle Ergebnisse in Security Hub CSPM verwenden das standardmäßige JSON-Format von ASFF. ASFF enthält Details zur Herkunft des Befundes, zur betroffenen Ressource und zum aktuellen Status des Ergebnisses. AWS Config sendet verwaltete und benutzerdefinierte Regelauswertungen an Security Hub CSPM über. EventBridge Security Hub CSPM wandelt die Regelauswertungen in Ergebnisse um, die sich an ASFF orientieren, und bereichert die Ergebnisse nach bestem Wissen und Gewissen.

##### Arten von Ergebnissen, die AWS Config an Security Hub CSPM gesendet werden
<a name="integration-config-how-types"></a>

 AWS Config Sendet nach der Aktivierung der Integration Bewertungen aller AWS Config verwalteten Regeln und benutzerdefinierten Regeln an Security Hub CSPM. Es werden nur Bewertungen gesendet, die nach der Aktivierung von Security Hub CSPM durchgeführt wurden. Nehmen wir zum Beispiel an, dass bei einer AWS Config Regelauswertung fünf Ressourcen ausgefallen sind. Wenn Sie Security Hub CSPM nach dieser Bewertung aktivieren und die Regel dann eine sechste ausgefallene Ressource aufdeckt, wird nur die sechste Ressourcenbewertung an Security Hub CSPM AWS Config gesendet.

Evaluierungen anhand von [serviceverknüpften AWS Config Regeln](securityhub-setup-prereqs.md), wie sie beispielsweise zur Durchführung von Prüfungen auf Security Hub CSPM-Steuerelemente verwendet werden, sind ausgeschlossen. Eine Ausnahme bilden Ergebnisse, die durch serviceverknüpfte Regeln generiert wurden, die in AWS Control Tower erstellt und verwaltet werden. AWS Config Wenn Sie Ergebnisse für diese Regeln einbeziehen, können Sie sicherstellen, dass Ihre Ergebnisdaten auch die Ergebnisse proaktiver Prüfungen enthalten, die von AWS Control Tower durchgeführt wurden.

##### AWS Config Ergebnisse an Security Hub CSPM senden
<a name="integration-config-how-types-send-findings"></a>

Wenn die Integration aktiviert ist, weist Security Hub CSPM automatisch die Berechtigungen zu, die für den Empfang von Ergebnissen erforderlich sind. AWS Config Security Hub CSPM verwendet service-to-service Level-Berechtigungen, die Ihnen eine sichere Möglichkeit bieten, diese Integration zu aktivieren und Ergebnisse von AWS Config Amazon zu importieren. EventBridge

##### Latenz für das Senden von Erkenntnissen
<a name="integration-config-how-types-latency"></a>

Wenn ein neues Ergebnis AWS Config erstellt wird, können Sie das Ergebnis normalerweise innerhalb von fünf Minuten in Security Hub CSPM anzeigen.

##### Wiederholter Versuch, wenn Security Hub CSPM nicht verfügbar ist
<a name="integration-config-how-types-retrying"></a>

AWS Config sendet die Ergebnisse nach bestem Wissen und Gewissen an Security Hub CSPM. EventBridge Wenn ein Ereignis nicht erfolgreich an Security Hub CSPM übermittelt wurde, wird die Zustellung bis zu 24 Stunden oder 185 Mal EventBridge wiederholt, je nachdem, was zuerst eintritt.

##### Aktualisierung vorhandener AWS Config Ergebnisse in Security Hub CSPM
<a name="integration-config-how-types-updating"></a>

Nachdem ein Ergebnis an Security Hub CSPM AWS Config gesendet wurde, kann es Aktualisierungen desselben Ergebnisses an Security Hub CSPM senden, um zusätzliche Beobachtungen der Findungsaktivität widerzuspiegeln. Updates werden nur für Ereignisse gesendet. `ComplianceChangeNotification` Wenn keine Änderung der Konformität erfolgt, werden keine Updates an Security Hub CSPM gesendet. Security Hub CSPM löscht Ergebnisse 90 Tage nach dem letzten Update oder 90 Tage nach der Erstellung, wenn kein Update erfolgt.

Security Hub CSPM archiviert keine Ergebnisse, die gesendet werden, AWS Config selbst wenn Sie die zugehörige Ressource löschen.

##### Regionen, in denen Ergebnisse vorliegen AWS Config
<a name="integration-config-how-types-regions"></a>

AWS Config Die Ergebnisse werden auf regionaler Basis getroffen. AWS Config sendet Ergebnisse an Security Hub CSPM in derselben Region oder Regionen, in denen die Ergebnisse auftreten.

### AWS Config Ergebnisse in Security Hub CSPM anzeigen
<a name="integration-config-view"></a>

Um Ihre AWS Config Ergebnisse anzuzeigen, wählen Sie **Findings** im Security Hub CSPM-Navigationsbereich aus. Um die Ergebnisse so zu filtern, dass nur AWS Config Ergebnisse angezeigt werden, wählen Sie in der Dropdownliste der Suchleiste die Option **Produktname** aus. Geben Sie **Config** ein und wählen Sie **Apply** aus.

#### Interpretieren AWS Config von gefundenen Namen in Security Hub CSPM
<a name="integration-config-view-interpret-finding-names"></a>

Security Hub CSPM wandelt AWS Config Regelauswertungen in Ergebnisse um, die dem folgen. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md) AWS Config Regelauswertungen verwenden ein anderes Ereignismuster als ASFF. In der folgenden Tabelle werden die Felder für die AWS Config Regelauswertung ihrem ASFF-Gegenstück zugeordnet, so wie sie in Security Hub CSPM erscheinen.


| Findetyp für die Auswertung der Konfigurationsregel | ASFF-Ergebnistyp | Hartcodierter Wert | 
| --- | --- | --- | 
| Detail. awsAccountId | AwsAccountId |   | 
| Detail. newEvaluationResult. resultRecordedTime | CreatedAt |   | 
| Detail. newEvaluationResult. resultRecordedTime | UpdatedAt |   | 
|  | ProductArn | <region>„arn ::securityhub:<partition>::“ product/aws/config | 
|  | ProductName | „Config“ | 
|  | CompanyName | "AWS" | 
|  | Region | „eu-central-1" | 
| configRuleArn | GeneratorId, ProductFields |  | 
| Detail. ConfigRuleARN/finding/hash | Id |  | 
| Detail. configRuleName | Titel, ProductFields |  | 
| Detail. configRuleName | Description | „Dieses Ergebnis wurde für eine Änderung der Ressourcenkonformität für die Konfigurationsregel erstellt:\$1\$1detail.ConfigRuleName\$1“ | 
| Konfigurationselement „ARN“ oder von Security Hub CSPM berechneter ARN | Ressourcen [i] .id |  | 
| detail.Ressourcentyp | Ressourcen [i] .Type | "AwsS3Bucket" | 
|  | Ressourcen [i] .Partition | "aws" | 
|  | Ressourcen [i] .Region | „eu-central-1" | 
| Konfigurationselement „Konfiguration“ | Ressourcen [i] .Details |  | 
|  | SchemaVersion | „2018-10-08" | 
|  | Schweregrad. Bezeichnung | Weitere Informationen finden Sie weiter unten unter „Interpretation des Schweregrads“ | 
|  | Typen | ["Software- und Konfigurationsprüfungen"] | 
| Detail. newEvaluationResult. Art der Konformität | Konformität. Status | „FEHLGESCHLAGEN“, „NOT\$1AVAILABLE“, „BESTANDEN“ oder „WARNUNG“ | 
|  | Arbeitsablauf.Status | „RESOLVED“, wenn ein AWS Config Ergebnis mit dem Wert Compliance.Status auf „PASSED“ generiert wird oder wenn sich der Wert Compliance.Status von „FAILED“ auf „PASSED“ ändert. Andernfalls lautet Workflow.Status „NEW“. Sie können diesen Wert mit der [BatchUpdateFindings](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API-Operation ändern. | 

#### Interpretation der Bezeichnung des Schweregrads
<a name="integration-config-view-interpret-severity"></a>

Für alle Ergebnisse aus AWS Config Regelauswertungen ist in der ASFF standardmäßig der Schweregrad **MITTEL** angegeben. Sie können den Schweregrad eines Ergebnisses mit dem [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API-Vorgang aktualisieren.

#### Typischer Befund von AWS Config
<a name="integration-config-view-typical-finding"></a>

Security Hub CSPM wandelt AWS Config Regelauswertungen in Ergebnisse um, die dem ASFF folgen. Im Folgenden finden Sie ein Beispiel für ein typisches Ergebnis aus AWS Config der ASFF.

**Anmerkung**  
Wenn die Beschreibung mehr als 1.024 Zeichen umfasst, wird sie auf 1.024 Zeichen gekürzt und am Ende steht „(gekürzt)“.

```
{
	"SchemaVersion": "2018-10-08",
	"Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932",
	"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config",
	"ProductName": "Config",
	"CompanyName": "AWS",
	"Region": "eu-central-1",
	"GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
	"AwsAccountId": "123456789012",
	"Types": [
		"Software and Configuration Checks"
	],
	"CreatedAt": "2022-04-15T05:00:37.181Z",
	"UpdatedAt": "2022-04-19T21:20:15.056Z",
	"Severity": {
		"Label": "MEDIUM",
		"Normalized": 40
	},
	"Title": "s3-bucket-level-public-access-prohibited-config-integration-demo",
	"Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo",
	"ProductFields": {
		"aws/securityhub/ProductName": "Config",
		"aws/securityhub/CompanyName": "AWS",
		"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902",
		"aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
		"aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo",
		"aws/config/ConfigComplianceType": "NON_COMPLIANT"
	},
	"Resources": [{
		"Type": "AwsS3Bucket",
		"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
		"Partition": "aws",
		"Region": "eu-central-1",
		"Details": {
			"AwsS3Bucket": {
				"OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c",
				"CreatedAt": "2022-04-15T04:32:53.000Z"
			}
		}
	}],
	"Compliance": {
		"Status": "FAILED"
	},
	"WorkflowState": "NEW",
	"Workflow": {
		"Status": "NEW"
	},
	"RecordState": "ACTIVE",
	"FindingProviderFields": {
		"Severity": {
			"Label": "MEDIUM"
		},
		"Types": [
			"Software and Configuration Checks"
		]
	}
}
```

### Aktivieren und Konfigurieren der Integration
<a name="integration-config-enable"></a>

Nachdem Sie Security Hub CSPM aktiviert haben, wird diese Integration automatisch aktiviert. AWS Config beginnt sofort, Ergebnisse an Security Hub CSPM zu senden.

### Einstellung der Veröffentlichung der Ergebnisse im Security Hub CSPM
<a name="integration-config-stop"></a>

Um das Senden von Ergebnissen an Security Hub CSPM zu beenden, können Sie die Security Hub CSPM-Konsole oder die Security Hub CSPM-API verwenden.

Anweisungen zum Stoppen des Flusses von Ergebnissen finden Sie unter. [Den Fluss von Erkenntnissen aus einer Security Hub CSPM-Integration ermöglichen](securityhub-integration-enable.md)

### AWS Firewall Manager (Sendet Ergebnisse)
<a name="integration-aws-firewall-manager"></a>

Firewall Manager sendet Ergebnisse an Security Hub CSPM, wenn eine Web Application Firewall (WAF) -Richtlinie für Ressourcen oder eine Web Access Control List (Web ACL) -Regel nicht den Vorschriften entspricht. Firewall Manager sendet auch Erkenntnisse, wenn AWS Shield Advanced Ressourcen nicht geschützt sind oder wenn ein Angriff erkannt wird.

Nachdem Sie Security Hub CSPM aktiviert haben, wird diese Integration automatisch aktiviert. Firewall Manager beginnt sofort, Ergebnisse an Security Hub CSPM zu senden.

Weitere Informationen zur Integration finden Sie auf der Seite **Integrationen** in der Security Hub CSPM-Konsole.

Weitere Informationen zu Firewall Manager finden Sie im [https://docs.aws.amazon.com/waf/latest/developerguide/](https://docs.aws.amazon.com/waf/latest/developerguide/).

### Amazon GuardDuty (Sendet Ergebnisse)
<a name="integration-amazon-guardduty"></a>

GuardDuty sendet alle von ihm generierten Befundtypen an Security Hub CSPM. Für einige Befundtypen gelten Voraussetzungen, Aktivierungsanforderungen oder regionale Einschränkungen. Weitere Informationen [GuardDuty finden Sie im * GuardDuty Amazon-Benutzerhandbuch* unter Typen suchen](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html).

Neue Ergebnisse von GuardDuty werden innerhalb von fünf Minuten an Security Hub CSPM gesendet. Aktualisierungen der Ergebnisse werden auf der Grundlage der Einstellung **Aktualisierte Ergebnisse** für Amazon EventBridge in den GuardDuty Einstellungen gesendet.

Wenn Sie GuardDuty Stichprobenergebnisse mithilfe der GuardDuty **Einstellungsseite** generieren, empfängt Security Hub CSPM die Probenergebnisse und lässt das Präfix `[Sample]` im Befundtyp weg. Beispielsweise GuardDuty `[SAMPLE] Recon:IAMUser/ResourcePermissions` wird der Typ des Probenergebnisses in wie `Recon:IAMUser/ResourcePermissions` in Security Hub CSPM angezeigt.

Nachdem Sie Security Hub CSPM aktiviert haben, wird diese Integration automatisch aktiviert. GuardDutybeginnt sofort, Ergebnisse an Security Hub CSPM zu senden.

Weitere Informationen zur GuardDuty Integration finden Sie unter [Integration mit AWS Security Hub CSPM](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) im * GuardDuty Amazon-Benutzerhandbuch*.

### AWS Health (Sendet Ergebnisse)
<a name="integration-health"></a>

AWS Health bietet fortlaufenden Einblick in die Leistung Ihrer Ressourcen und die Verfügbarkeit Ihrer AWS-Services Ressourcen AWS-Konten. Sie können AWS Health Ereignisse verwenden, um zu erfahren, wie sich Änderungen an Diensten und Ressourcen auf Ihre Anwendungen auswirken können, die auf ausgeführt AWS werden.

Die Integration mit verwendet AWS Health nicht`BatchImportFindings`. AWS Health Verwendet stattdessen service-to-service Ereignisnachrichten, um Ergebnisse an Security Hub CSPM zu senden.

Weitere Informationen zur Integration finden Sie in den folgenden Abschnitten.

#### Wie AWS Health sendet man Ergebnisse an Security Hub CSPM
<a name="integration-health-how"></a>

In Security Hub CSPM werden Sicherheitsprobleme als Erkenntnisse verfolgt. Einige Ergebnisse stammen aus Problemen, die von anderen AWS Diensten oder von Drittanbietern entdeckt wurden. Security Hub CSPM verfügt außerdem über eine Reihe von Regeln, anhand derer Sicherheitsprobleme erkannt und Ergebnisse generiert werden.

Security Hub CSPM bietet Tools zur Verwaltung von Erkenntnissen aus all diesen Quellen. Sie können Listen mit Erkenntnissen anzeigen und filtern und Details zu einer Erkenntnis anzeigen. Siehe [Überprüfung der Funddetails und des Verlaufs in Security Hub CSPM](securityhub-findings-viewing.md). Sie können auch den Status einer Untersuchung zu einer Erkenntnis nachverfolgen. Siehe [Den Workflow-Status von Ergebnissen in Security Hub CSPM festlegen](findings-workflow-status.md).

Alle Ergebnisse in Security Hub CSPM verwenden ein Standard-JSON-Format namens. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md) ASFF enthält Einzelheiten zur Ursache des Problems, zu den betroffenen Ressourcen und zum aktuellen Stand der Ergebnisse.

AWS Health ist einer der AWS Dienste, der Ergebnisse an Security Hub CSPM sendet.

##### Arten von Ergebnissen, die AWS Health an Security Hub CSPM gesendet werden
<a name="integration-health-how-types"></a>

 AWS Health Sendet nach der Aktivierung der Integration Ergebnisse, die eine oder mehrere der aufgelisteten Spezifikationen erfüllen, an Security Hub CSPM. Security Hub CSPM nimmt die Ergebnisse in die auf. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)
+ Ergebnisse, die einen der folgenden Werte enthalten für: AWS-Service
  + `RISK`
  + `ABUSE`
  + `ACM`
  + `CLOUDHSM`
  + `CLOUDTRAIL`
  + `CONFIG`
  + `CONTROLTOWER`
  + `DETECTIVE`
  + `EVENTS`
  + `GUARDDUTY`
  + `IAM`
  + `INSPECTOR`
  + `KMS`
  + `MACIE`
  + `SES`
  + `SECURITYHUB`
  + `SHIELD`
  + `SSO`
  + `COGNITO`
  + `IOTDEVICEDEFENDER`
  + `NETWORKFIREWALL`
  + `ROUTE53`
  + `WAF`
  + `FIREWALLMANAGER`
  + `SECRETSMANAGER`
  + `BACKUP`
  + `AUDITMANAGER`
  + `ARTIFACT`
  + `CLOUDENDURE`
  + `CODEGURU`
  + `ORGANIZATIONS`
  + `DIRECTORYSERVICE`
  + `RESOURCEMANAGER`
  + `CLOUDWATCH`
  + `DRS`
  + `INSPECTOR2`
  + `RESILIENCEHUB`
+ Ergebnisse mit den Wörtern `security``abuse`, oder `certificate` im AWS Health `typeCode` Feld
+ Feststellungen, wo sich der AWS Health Dienst befindet `risk` oder `abuse`

##### AWS Health Ergebnisse an Security Hub CSPM senden
<a name="integration-health-how-types-send-findings"></a>

Wenn Sie sich dafür entscheiden, Ergebnisse von zu akzeptieren AWS Health, weist Security Hub CSPM automatisch die Berechtigungen zu, die für den Empfang der Ergebnisse von erforderlich sind. AWS Health Security Hub CSPM verwendet service-to-service Level-Berechtigungen, die Ihnen eine sichere und einfache Möglichkeit bieten, diese Integration zu aktivieren und Ergebnisse in Ihrem Namen AWS Health über EventBridge Amazon zu importieren. Wenn Sie „**Ergebnisse akzeptieren**“ wählen, erteilt Security Hub CSPM die Erlaubnis, Ergebnisse von zu verwenden. AWS Health

##### Latenz für das Senden von Erkenntnissen
<a name="integration-health-how-types-latency"></a>

Wenn ein neues Ergebnis AWS Health erstellt wird, wird es normalerweise innerhalb von fünf Minuten an Security Hub CSPM gesendet.

##### Wiederholter Versuch, wenn Security Hub CSPM nicht verfügbar ist
<a name="integration-health-how-types-retrying"></a>

AWS Health sendet die Ergebnisse nach bestem Wissen und Gewissen an Security Hub CSPM. EventBridge Wenn ein Ereignis nicht erfolgreich an Security Hub CSPM übermittelt wurde, wird EventBridge erneut versucht, das Ereignis für 24 Stunden zu senden.

##### Aktualisieren von vorhandenen Erkenntnissen in Security Hub CSPM
<a name="integration-health-how-types-updating"></a>

Nachdem ein Ergebnis an Security Hub CSPM AWS Health gesendet wurde, kann es Updates zu demselben Ergebnis senden, um zusätzliche Beobachtungen der Findungsaktivität an Security Hub CSPM widerzuspiegeln. 

##### Regionen, in denen Ergebnisse vorliegen
<a name="integration-health-how-types-regions"></a>

 AWS Health Sendet bei globalen Ereignissen Ergebnisse an Security Hub CSPM in us-east-1 (AWS Partition), cn-northwest-1 (Partition China) und -1 (Partition). gov-us-west GovCloud AWS Health sendet regionsspezifische Ereignisse an Security Hub CSPM in derselben Region oder Regionen, in denen die Ereignisse auftreten.

#### AWS Health Ergebnisse in Security Hub CSPM anzeigen
<a name="integration-health-view"></a>

Um Ihre AWS Health Ergebnisse in Security Hub CSPM anzuzeigen, wählen Sie im Navigationsbereich **Findings** aus. Um die Ergebnisse so zu filtern, dass nur AWS Health Ergebnisse angezeigt werden, wählen Sie **Health** aus dem Feld **Produktname** aus.

##### Interpretieren AWS Health von gefundenen Namen in Security Hub CSPM
<a name="integration-health-view-interpret-finding-names"></a>

AWS Health sendet die Ergebnisse mit dem an Security Hub CSPM. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md) AWS Health Die Suche verwendet ein anderes Ereignismuster als das Security Hub CSPM ASFF-Format. In der folgenden Tabelle sind alle Ergebnisfelder mit ihren ASFF-Gegenstücken aufgeführt, so wie sie in Security Hub CSPM erscheinen. AWS Health 


| Art Health Gesundheitsbefundung | ASFF-Ergebnistyp | Hartcodierter Wert | 
| --- | --- | --- | 
| Konto | AwsAccountId |   | 
| Detail.StartTime | CreatedAt |   | 
| Detail.EventDescription.Letzte Beschreibung | Description |   | 
| Detail. eventTypeCode | GeneratorId |   | 
| detail.eventArn (einschließlich Konto) \$1 Hash von detail.StartTime | Id |   | 
| <region>„arn:aws:securityhub:::“ product/aws/health | ProductArn |   | 
| Konto oder resourceId | Ressourcen [i] .id |   | 
|   | Ressourcen [i] .Type | „Andere“ | 
|   | SchemaVersion | „2018-10-08" | 
|   | Schweregrad. Bezeichnung | Weitere Informationen finden Sie weiter unten unter „Interpretation des Schweregrads“ | 
| Detail „AWS Health -“. eventTypeCode | Title |   | 
| - | Typen | ["Software- und Konfigurationschecks"] | 
| event.time | UpdatedAt |   | 
| URL des Ereignisses auf der Health Console | SourceUrl |   | 

##### Der Schweregrad wird interpretiert
<a name="integration-health-view-interpret-severity"></a>

Der Schweregrad im ASFF-Ergebnis wird anhand der folgenden Logik bestimmt:
+ Schweregrad **KRITISCH** wenn:
  + Das `service` Feld im AWS Health Ergebnis hat den Wert `Risk`
  + Das `typeCode` Feld im AWS Health Befund hat den Wert `AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION`
  + Das `typeCode` Feld im AWS Health Befund hat den Wert `AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK`
  + Das `typeCode` Feld im AWS Health Befund hat den Wert `AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES`

  Schweregrad **HOCH**, wenn:
  + Das `service` Feld im AWS Health Ergebnis hat den Wert `Abuse`
  + Das `typeCode` Feld im AWS Health Befund enthält den Wert `SECURITY_NOTIFICATION`
  + Das `typeCode` Feld im AWS Health Befund enthält den Wert `ABUSE_DETECTION`

  Schweregrad **MITTEL**, wenn:
  + Das `service` Feld im Ergebnis ist eines der folgenden:`ACM`,,,,,,`ARTIFACT`,,`AUDITMANAGER`,`BACKUP`,`CLOUDENDURE`,`CLOUDHSM`,,`CLOUDTRAIL`,`CLOUDWATCH`,`CODEGURGU`,`COGNITO`,,`CONFIG`,`CONTROLTOWER`,`DETECTIVE`,`DIRECTORYSERVICE`,,`DRS`,`EVENTS`,`FIREWALLMANAGER`,`GUARDDUTY`,,`IAM`,`INSPECTOR`,`INSPECTOR2`,`IOTDEVICEDEFENDER`,,`KMS`,`MACIE`,`NETWORKFIREWALL`,,`ORGANIZATIONS`,`RESILIENCEHUB`,`RESOURCEMANAGER`,`ROUTE53`,,`SECURITYHUB`,`SECRETSMANAGER`,`SES`,`SHIELD`,,`SSO`, oder `WAF`
  + Das **TypeCode-Feld** im AWS Health Ergebnis enthält den Wert `CERTIFICATE`
  + Das **TypeCode-Feld** im AWS Health Befund enthält den Wert `END_OF_SUPPORT`

##### Typischer Befund von AWS Health
<a name="integration-health-view-typical-finding"></a>

AWS Health sendet Ergebnisse mit dem an Security Hub CSPM. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md) Im Folgenden finden Sie ein Beispiel für ein typisches Ergebnis von. AWS Health

**Anmerkung**  
Wenn die Beschreibung mehr als 1024 Zeichen umfasst, wird sie auf 1024 Zeichen gekürzt und am Ende steht *(gekürzt)*.

```
{
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
            "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks"
            ],
            "CreatedAt": "2022-01-07T16:34:04.000Z",
            "UpdatedAt": "2022-01-07T19:17:43.000Z",
            "Severity": {
                "Label": "MEDIUM",
                "Normalized": 40
            },
            "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
            "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).",
            "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductFields": {
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
                "aws/securityhub/ProductName": "Health",
                "aws/securityhub/CompanyName": "AWS"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "MEDIUM"
                },
                "Types": [
                    "Software and Configuration Checks"
                ]
            }
        }
    ]
}
```

#### Aktivieren und Konfigurieren der Integration
<a name="integration-health-enable"></a>

Nachdem Sie Security Hub CSPM aktiviert haben, wird diese Integration automatisch aktiviert. AWS Health beginnt sofort, Ergebnisse an Security Hub CSPM zu senden.

#### Einstellung der Veröffentlichung der Ergebnisse im Security Hub CSPM
<a name="integration-health-stop"></a>

Um das Senden von Ergebnissen an Security Hub CSPM zu beenden, können Sie die Security Hub CSPM-Konsole oder die Security Hub CSPM-API verwenden.

Anweisungen zum Stoppen des Flusses von Ergebnissen finden Sie unter. [Den Fluss von Erkenntnissen aus einer Security Hub CSPM-Integration ermöglichen](securityhub-integration-enable.md)

### AWS Identity and Access Management Access Analyzer (Sendet Ergebnisse)
<a name="integration-iam-access-analyzer"></a>

Mit IAM Access Analyzer werden alle Ergebnisse an Security Hub CSPM gesendet.

IAM Access Analyzer analysiert anhand von logischer Argumentation ressourcenbasierte Richtlinien, die auf unterstützte Ressourcen in Ihrem Konto angewendet werden. IAM Access Analyzer generiert ein Ergebnis, wenn er eine Richtlinienaussage entdeckt, die einem externen Principal den Zugriff auf eine Ressource in Ihrem Konto ermöglicht.

In IAM Access Analyzer kann nur das Administratorkonto Ergebnisse für Analyzer sehen, die für eine Organisation gelten. Bei Organisationsanalyseprogrammen gibt das `AwsAccountId` ASFF-Feld die Administratorkonto-ID an. Das `ResourceOwnerAccount` Feld `ProductFields` darunter gibt das Konto an, in dem das Ergebnis entdeckt wurde. Wenn Sie Analyzer für jedes Konto einzeln aktivieren, generiert Security Hub CSPM mehrere Ergebnisse, eines, das die Administratorkonto-ID identifiziert, und eines, das die Ressourcenkonto-ID identifiziert. 

Weitere Informationen finden Sie unter [Integration mit AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html) im *IAM-Benutzerhandbuch*.

### Amazon Inspector (Sendet Ergebnisse)
<a name="integration-amazon-inspector"></a>

Amazon Inspector ist ein Schwachstellen-Management-Service, der Ihre AWS Workloads kontinuierlich auf Schwachstellen überprüft. Amazon Inspector erkennt und scannt automatisch Amazon EC2 EC2-Instances und Container-Images, die sich in der Amazon Elastic Container Registry befinden. Der Scan sucht nach Softwareschwachstellen und unbeabsichtigten Netzwerkbedrohungen.

Nachdem Sie Security Hub CSPM aktiviert haben, wird diese Integration automatisch aktiviert. Amazon Inspector beginnt sofort, alle Ergebnisse, die es generiert, an Security Hub CSPM zu senden.

Weitere Informationen zur Integration finden Sie unter [Integration mit AWS Security Hub CSPM](https://docs.aws.amazon.com/inspector/latest/user/securityhub-integration.html) im *Amazon Inspector Inspector-Benutzerhandbuch*.

Security Hub CSPM kann auch Ergebnisse von Amazon Inspector Classic erhalten. Amazon Inspector Classic sendet Ergebnisse an Security Hub CSPM, die im Rahmen von Bewertungsläufen für alle unterstützten Regelpakete generiert wurden.

Weitere Informationen zur Integration finden Sie unter [Integration mit AWS Security Hub CSPM](https://docs.aws.amazon.com/inspector/latest/userguide/securityhub-integration.html) im *Amazon Inspector Classic-Benutzerhandbuch*.

Die Ergebnisse für Amazon Inspector und Amazon Inspector Classic verwenden denselben Produkt-ARN. Die Ergebnisse von Amazon Inspector haben den folgenden Eintrag in`ProductFields`:

```
"aws/inspector/ProductVersion": "2",
```

**Anmerkung**  
 Von [Amazon Inspector Code Security generierte Sicherheitsergebnisse](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html) sind für diese Integration nicht verfügbar. Sie können jedoch in der Amazon Inspector-Konsole und über die Amazon [Inspector-API](https://docs.aws.amazon.com/inspector/v2/APIReference/Welcome.html) auf diese speziellen Ergebnisse zugreifen. 

### AWS IoT Device Defender (Sendet Ergebnisse)
<a name="integration-iot-device-defender"></a>

AWS IoT Device Defender ist ein Sicherheitsdienst, der die Konfiguration Ihrer IoT-Geräte überprüft, angeschlossene Geräte überwacht, um ungewöhnliches Verhalten zu erkennen, und zur Minderung von Sicherheitsrisiken beiträgt.

Nachdem Sie AWS IoT Device Defender sowohl als auch Security Hub CSPM aktiviert haben, rufen Sie die [Integrationsseite der Security Hub CSPM-Konsole](https://console.aws.amazon.com/securityhub/home#/integrations) auf und wählen Sie **Ergebnisse akzeptieren** für Audit, Detect oder beides aus. AWS IoT Device Defender Audit and Detect beginnt, alle Ergebnisse an Security Hub CSPM zu senden.

AWS IoT Device Defender Audit sendet Prüfzusammenfassungen an Security Hub CSPM, die allgemeine Informationen für einen bestimmten Auditprüfungstyp und eine bestimmte Auditaufgabe enthalten. AWS IoT Device Defender Detect sendet festgestellte Verstöße für maschinelles Lernen (ML), statistisches und statisches Verhalten an Security Hub CSPM. Audit sendet auch gefundene Updates an Security Hub CSPM.

Weitere Informationen zu dieser Integration finden Sie unter [Integration mit AWS Security Hub CSPM](https://docs.aws.amazon.com/iot/latest/developerguide/securityhub-integration.html) im *AWS IoT Entwicklerhandbuch*.

### Amazon Macie (Sendet Ergebnisse)
<a name="integration-amazon-macie"></a>

Amazon Macie ist ein Datensicherheitsservice, der sensible Daten mithilfe von Machine Learning und Musterabgleich entdeckt, Einblicke in Datensicherheitsrisiken bietet und automatischen Schutz vor diesen Risiken ermöglicht. Ein Ergebnis von Macie kann darauf hinweisen, dass in Ihrem Amazon S3 S3-Datenbestand ein potenzieller Richtlinienverstoß vorliegt oder sensible Daten vorhanden sind.

Nachdem Sie Security Hub CSPM aktiviert haben, beginnt Macie automatisch, Richtlinienergebnisse an Security Hub CSPM zu senden. Sie können die Integration so konfigurieren, dass auch Ergebnisse vertraulicher Daten an Security Hub CSPM gesendet werden.

In Security Hub CSPM wird der Suchtyp für eine Richtlinie oder einen Fund vertraulicher Daten auf einen Wert geändert, der mit ASFF kompatibel ist. Beispielsweise wird der `Policy:IAMUser/S3BucketPublic` Findungstyp in Macie wie `Effects/Data Exposure/Policy:IAMUser-S3BucketPublic` in Security Hub CSPM angezeigt.

Macie sendet auch generierte Probenergebnisse an Security Hub CSPM. Bei Stichprobenergebnissen lautet der Name der betroffenen Ressource `macie-sample-finding-bucket` und der Wert für das `Sample` Feld lautet. `true`

Weitere Informationen finden Sie unter [Evaluierung der Macie-Ergebnisse mit Security Hub](https://docs.aws.amazon.com/macie/latest/user/securityhub-integration.html) im *Amazon Macie Macie-Benutzerhandbuch*.

### Amazon Route 53 Resolver DNS-Firewall (Sendet Ergebnisse)
<a name="integration-amazon-r53rdnsfirewall"></a>

Mit der Amazon Route 53 Resolver DNS-Firewall können Sie ausgehenden DNS-Verkehr für Ihre Virtual Private Cloud (VPC) filtern und regulieren. Dazu erstellen Sie wiederverwendbare Sammlungen von Filterregeln in DNS-Firewall-Regelgruppen, verknüpfen die Regelgruppen mit Ihrer VPC und überwachen dann die Aktivitäten in DNS-Firewallprotokollen und -Metriken. Je nach Aktivität können Sie das Verhalten der DNS-Firewall anpassen. Die DNS-Firewall ist eine Funktion von Route 53 Resolver.

Die Route 53 Resolver DNS Firewall kann verschiedene Arten von Ergebnissen an Security Hub CSPM senden:
+ Ergebnisse im Zusammenhang mit Abfragen, bei denen es sich um blockierte oder Warnmeldungen für Domänen handelt, die AWS verwalteten Domänenlisten zugeordnet sind. AWS 
+ Ergebnisse im Zusammenhang mit Anfragen, die blockiert wurden oder bei denen eine Warnung ausgelöst wurde, für Domänen, die mit einer von Ihnen definierten, benutzerdefinierten Domänenliste verknüpft sind.
+ Ergebnisse im Zusammenhang mit Abfragen, die von DNS Firewall Advanced blockiert wurden oder bei denen eine Warnung angezeigt wurde. Dabei handelt es sich um eine Route 53-Resolver-Funktion, mit der Abfragen im Zusammenhang mit komplexen DNS-Bedrohungen wie Algorithmen zur Domänengenerierung (DGAs) und DNS-Tunneling erkannt werden können.

Nachdem Sie Security Hub CSPM und Route 53 Resolver DNS Firewall aktiviert haben, beginnt die DNS-Firewall automatisch, Ergebnisse für AWS verwaltete Domänenlisten und DNS Firewall Advanced an Security Hub CSPM zu senden. Um auch Ergebnisse für eine benutzerdefinierte Domainliste an Security Hub CSPM zu senden, aktivieren Sie die Integration in Security Hub CSPM manuell.

In Security Hub CSPM haben alle Ergebnisse der Route 53 Resolver DNS Firewall den folgenden Typ:. `TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation`

Weitere Informationen finden Sie unter [Senden von Ergebnissen von der Route 53 Resolver DNS Firewall an Security Hub](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/securityhub-integration.html) im *Amazon Route 53-Entwicklerhandbuch*.

### AWS Systems Manager Patch Manager (Sendet Ergebnisse)
<a name="patch-manager"></a>

AWS Systems Manager Patch Manager sendet Ergebnisse an Security Hub CSPM, wenn Instances in der Flotte eines Kunden nicht mehr dem Patch-Compliance-Standard entsprechen.

Patch Manager automatisiert das Patchen verwalteter Instances mit sicherheitsrelevanten und anderen Arten von Updates.

Nachdem Sie Security Hub CSPM aktiviert haben, wird diese Integration automatisch aktiviert. Systems Manager Patch Manager beginnt sofort, Ergebnisse an Security Hub CSPM zu senden.

Weitere Informationen zur Verwendung von Patch Manager finden Sie unter [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) im *AWS Systems Manager Benutzerhandbuch*.

## AWS Dienste, die Erkenntnisse von Security Hub CSPM erhalten
<a name="integrations-internal-receive"></a>

Die folgenden AWS Dienste sind in Security Hub CSPM integriert und beziehen Ergebnisse von Security Hub CSPM. Sofern angegeben, kann der integrierte Dienst die Ergebnisse auch aktualisieren. In diesem Fall wird das Auffinden von Updates, die Sie im integrierten Dienst vornehmen, auch in Security Hub CSPM widergespiegelt.

### AWS Audit Manager (Erhält Ergebnisse)
<a name="integration-aws-audit-manager"></a>

AWS Audit Manager erhält Ergebnisse von Security Hub CSPM. Diese Ergebnisse helfen den Benutzern von Audit Manager, sich auf Audits vorzubereiten.

Weitere Informationen zu Audit Manager finden Sie im [https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html). [AWS Security Hub CSPM-Prüfungen, unterstützt von](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-ash.html), AWS Audit Manager listet die Kontrollen auf, für die Security Hub CSPM Ergebnisse an Audit Manager sendet.

### Amazon Q Developer in Chat-Anwendungen (erhält Ergebnisse)
<a name="integration-chatbot"></a>

Amazon Q Developer in Chat-Anwendungen ist ein interaktiver Agent, der Ihnen hilft, Ihre AWS Ressourcen in Ihren Slack-Kanälen und Amazon Chime Chime-Chatrooms zu überwachen und mit ihnen zu interagieren.

Amazon Q Developer in Chat-Anwendungen erhält Ergebnisse von Security Hub CSPM.

Weitere Informationen zur Integration von Amazon Q Developer in Chat-Anwendungen mit Security Hub CSPM finden Sie in der [Übersicht über die Security Hub CSPM-Integration](https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html#security-hub) im Administratorhandbuch für *Amazon Q Developer in Chat-Anwendungen*.

### Amazon Detective (erhält Ergebnisse)
<a name="integration-amazon-detective"></a>

Detective sammelt automatisch Protokolldaten aus Ihren AWS Ressourcen und nutzt maschinelles Lernen, statistische Analysen und Graphentheorie, um Sie bei der Visualisierung und Durchführung schnellerer und effizienterer Sicherheitsuntersuchungen zu unterstützen.

Die Security Hub CSPM-Integration mit Detective ermöglicht es Ihnen, von GuardDuty Amazon-Ergebnissen in Security Hub CSPM zu Detective zu wechseln. Anschließend können Sie die Detective-Tools und Visualisierungen verwenden, um sie zu untersuchen. Für die Integration ist keine zusätzliche Konfiguration in Security Hub CSPM oder Detective erforderlich.

Für Ergebnisse, die von anderen stammen AWS-Services, enthält der Bereich mit den Ergebnisdetails auf der Security Hub CSPM-Konsole den Unterabschnitt **Investigate in Detective**. Dieser Unterabschnitt enthält einen Link zu Detective, über den Sie das Sicherheitsproblem, das durch den Befund gemeldet wurde, weiter untersuchen können. Sie können in Detective auch ein Verhaltensdiagramm erstellen, das auf den Ergebnissen des Security Hub CSPM basiert, um effektivere Untersuchungen durchzuführen. Weitere Informationen finden Sie in den [AWS Sicherheitsergebnissen](https://docs.aws.amazon.com/detective/latest/adminguide/source-data-types-asff.html) im *Amazon Detective Administration Guide*.

Wenn die regionsübergreifende Aggregation aktiviert ist und Sie von der Aggregationsregion aus wechseln, wird Detective in der Region geöffnet, aus der das Ergebnis stammt.

Wenn ein Link nicht funktioniert, finden Sie Hinweise zur Fehlerbehebung unter [Troubleshooting the Pivot](https://docs.aws.amazon.com/detective/latest/userguide/profile-pivot-from-service.html#profile-pivot-troubleshooting).

### Amazon Security Lake (erhält Ergebnisse)
<a name="integration-security-lake"></a>

Security Lake ist ein vollständig verwalteter Sicherheits-Data-Lake-Service. Sie können Security Lake verwenden, um Sicherheitsdaten aus Cloud-, lokalen und benutzerdefinierten Quellen automatisch in einem Data Lake zu zentralisieren, der in Ihrem Konto gespeichert ist. Abonnenten können Daten aus Security Lake für Ermittlungs- und Analysezwecke nutzen.

Um diese Integration zu aktivieren, müssen Sie beide Dienste aktivieren und Security Hub CSPM als Quelle in der Security Lake-Konsole, der Security Lake-API oder hinzufügen. AWS CLI Sobald Sie diese Schritte abgeschlossen haben, beginnt Security Hub CSPM, alle Ergebnisse an Security Lake zu senden.

Security Lake normalisiert die CSPM-Ergebnisse von Security Hub automatisch und konvertiert sie in ein standardisiertes Open-Source-Schema namens Open Cybersecurity Schema Framework (OCSF). In Security Lake können Sie einen oder mehrere Abonnenten hinzufügen, um die CSPM-Ergebnisse von Security Hub zu nutzen.

Weitere Informationen zu dieser Integration, einschließlich Anweisungen zum Hinzufügen von Security Hub CSPM als Quelle und zum Erstellen von Abonnenten, finden Sie unter [Integration mit AWS Security Hub CSPM](https://docs.aws.amazon.com/security-lake/latest/userguide/securityhub-integration.html) im *Amazon Security* Lake-Benutzerhandbuch.

### AWS Systems Manager Explorer und OpsCenter (Empfängt und aktualisiert Ergebnisse)
<a name="integration-ssm-explorer-opscenter"></a>

AWS Systems Manager Erkunden und OpsCenter empfangen Sie Ergebnisse von Security Hub CSPM und aktualisieren Sie diese Ergebnisse in Security Hub CSPM.

Explorer bietet Ihnen ein anpassbares Dashboard, das wichtige Einblicke und Analysen zum Betriebsstatus und zur Leistung Ihrer Umgebung bietet. AWS 

OpsCenter bietet Ihnen einen zentralen Ort, an dem Sie betriebliche Arbeitsaufgaben anzeigen, untersuchen und lösen können.

Weitere Informationen zu Explorer und OpsCenter finden Sie unter [Operations Management](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-ops-center.html) im *AWS Systems Manager Benutzerhandbuch*.

### AWS Trusted Advisor (Erhält Ergebnisse)
<a name="integration-trusted-advisor"></a>

Trusted Advisor stützt sich auf bewährte Verfahren, die bei der Betreuung von Hunderttausenden von AWS Kunden gelernt wurden. Trusted Advisor untersucht Ihre AWS Umgebung und gibt dann Empfehlungen, wenn Möglichkeiten bestehen, Geld zu sparen, die Systemverfügbarkeit und -leistung zu verbessern oder Sicherheitslücken zu schließen.

Wenn Sie Trusted Advisor sowohl als auch Security Hub CSPM aktivieren, wird die Integration automatisch aktualisiert.

Security Hub CSPM sendet die Ergebnisse seiner AWS Foundational Security Best Practices-Prüfungen an. Trusted Advisor

*Weitere Informationen zur Security Hub CSPM-Integration mit Trusted Advisor finden Sie unter [AWS Security Hub CSPM-Steuerelemente anzeigen AWS Trusted Advisor im AWS Support-Benutzerhandbuch](https://docs.aws.amazon.com/awssupport/latest/user/security-hub-controls-with-trusted-advisor.html).*

# Produktintegrationen von Drittanbietern mit Security Hub CSPM
<a name="securityhub-partner-providers"></a>

AWS Security Hub CSPM lässt sich in mehrere Partnerprodukte von Drittanbietern integrieren. Eine Integration kann eine oder mehrere der folgenden Aktionen ausführen:
+ Senden Sie die generierten Ergebnisse an Security Hub CSPM
+ Erhalten Sie Ergebnisse von Security Hub CSPM
+ Ergebnisse im Security Hub CSPM aktualisieren

Integrationen, die Ergebnisse an Security Hub CSPM senden, haben einen Amazon-Ressourcennamen (ARN).

Eine Integration ist möglicherweise nicht in allen verfügbar. AWS-Regionen Wenn eine Integration in der Region, in der Sie derzeit angemeldet sind, auf der Security Hub CSPM-Konsole nicht unterstützt wird, wird sie nicht auf der **Integrationsseite** der Konsole angezeigt. Eine Liste der Integrationen, die in den Regionen China und verfügbar sind AWS GovCloud (US) Regions, finden Sie unter[Verfügbarkeit von Integrationen nach Regionen](securityhub-regions.md#securityhub-regions-integration-support).

Wenn Sie über eine Sicherheitslösung verfügen und daran interessiert sind, ein Security Hub CSPM-Partner zu werden, senden Sie eine E-Mail an securityhub-partners@amazon.com. Weitere Informationen finden Sie im Leitfaden zur [Partnerintegration](https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-overview.html).

## Überblick über Integrationen von Drittanbietern mit Security Hub CSPM
<a name="integrations-third-party-summary"></a>

Die folgende Tabelle bietet einen Überblick über die Integrationen von Drittanbietern, die Ergebnisse an Security Hub CSPM senden oder Ergebnisse von Security Hub CSPM empfangen können.


| Integration | Richtung | ARN (falls zutreffend) | 
| --- | --- | --- | 
|  [3CORESec – 3CORESec NTA](#integration-3coresec-nta)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/3coresec/3coresec`  | 
|  [Alert Logic – SIEMless Threat Management](#integration-alert-logic-siemless)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:733251395267:product/alertlogic/althreatmanagement`  | 
|  [Aqua Security – Aqua Cloud Native Security Platform](#integration-aqua-security-cloud-native-security-platform)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/aquasecurity/aquasecurity`  | 
|  [Aqua Security – Kube-bench](#integration-aqua-security-kubebench)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/aqua-security/kube-bench`  | 
|  [Armor – Armor Anywhere](#integration-armor-anywhere)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:679703615338:product/armordefense/armoranywhere`  | 
|  [AttackIQ – AttackIQ](#integration-attackiq)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/attackiq/attackiq-platform`  | 
|  [Barracuda Networks – Cloud Security Guardian](#integration-barracuda-cloud-security-guardian)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:151784055945:product/barracuda/cloudsecurityguardian`  | 
|  [BigID – BigID Enterprise](#integration-bigid-enterprise)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/bigid/bigid-enterprise`  | 
|  [Blue Hexagon – Blue Hexagon forAWS](#integration-blue-hexagon-for-aws)  |  Sendet Ergebnisse  |   `arn:aws:securityhub:<REGION>::product/blue-hexagon/blue-hexagon-for-aws`  | 
|  [Check Point – CloudGuard IaaS](#integration-checkpoint-cloudguard-iaas)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:758245563457:product/checkpoint/cloudguard-iaas`  | 
|  [Check Point – CloudGuard Posture Management](#integration-checkpoint-cloudguard-posture-management)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:634729597623:product/checkpoint/dome9-arc`  | 
|  [Claroty – xDome](#integration-claroty-xdome)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/claroty/xdome`  | 
|  [Cloud Storage Security— Antivirus for Amazon S3](#integration-checkpoint-cloudguard-posture-management)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/cloud-storage-security/antivirus-for-amazon-s3`  | 
|  [Contrast Security](#integration-contrast-security)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/contrast-security/security-assess`  | 
|  [CrowdStrike – CrowdStrike Falcon](#integration-crowdstrike-falcon)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:517716713836:product/crowdstrike/crowdstrike-falcon`  | 
|  [CyberArk – Privileged Threat Analytics](#integration-cyberark-privileged-threat-analytics)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:749430749651:product/cyberark/cyberark-pta`  | 
|  [Data Theorem – Data Theorem](#integration-data-theorem)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/data-theorem/api-cloud-web-secure`  | 
|  [Drata](#integration-drata)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/drata/drata-integration`  | 
|  [Forcepoint – Forcepoint CASB](#integration-forcepoint-casb)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-casb`  | 
|  [Forcepoint – Forcepoint Cloud Security Gateway](#integration-forcepoint-cloud-security-gateway)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-cloud-security-gateway`  | 
|  [Forcepoint – Forcepoint DLP](#integration-forcepoint-dlp)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-dlp`  | 
|  [Forcepoint – Forcepoint NGFW](#integration-forcepoint-ngfw)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-ngfw`  | 
|  [Fugue – Fugue](#integration-fugue)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/fugue/fugue`  | 
|  [Guardicore – Centra 4.0](#integration-guardicore-centra)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/guardicore/guardicore`  | 
|  [HackerOne – Vulnerability Intelligence](#integration-hackerone-vulnerability-intelligence)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/hackerone/vulnerability-intelligence`  | 
|  [JFrog – Xray](#integration-jfrog-xray)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/jfrog/jfrog-xray`  | 
|  [Juniper Networks – vSRX Next Generation Firewall](#integration-junipernetworks-vsrxnextgenerationfirewall)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/juniper-networks/vsrx-next-generation-firewall`  | 
|  [k9 Security – Access Analyzer](#integration-k9-security-access-analyzer)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/k9-security/access-analyzer`  | 
|  [Lacework – Lacework](#integration-lacework)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/lacework/lacework`  | 
|  [McAfee – MVISION Cloud Native Application Protection Platform (CNAPP)](#integration-mcafee-mvision-cnapp)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/mcafee-skyhigh/mcafee-mvision-cloud-aws`  | 
|  [NETSCOUT – NETSCOUT Cyber Investigator](#integration-netscout-cyber-investigator)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:us-east-1::product/netscout/netscout-cyber-investigator`  | 
|  [Orca Cloud Security Platform](#integration-orca-cloud-security-platform)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/orca-security/orca-security`  | 
|  [Palo Alto Networks – Prisma Cloud Compute](#integration-palo-alto-prisma-cloud-compute)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:496947949261:product/twistlock/twistlock-enterprise`  | 
|  [Palo Alto Networks – Prisma Cloud Enterprise](#integration-palo-alto-prisma-cloud-enterprise)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:188619942792:product/paloaltonetworks/redlock`  | 
|  [Plerion – Cloud Security Platform](#integration-plerion)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/plerion/cloud-security-platform`  | 
|  [Prowler – Prowler](#integration-prowler)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/prowler/prowler`  | 
|  [Qualys – Vulnerability Management](#integration-qualys-vulnerability-management)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:805950163170:product/qualys/qualys-vm`  | 
|  [Rapid7 – InsightVM](#integration-rapid7-insightvm)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:336818582268:product/rapid7/insightvm`  | 
|  [SentinelOne – SentinelOne](#integration-sentinelone)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/sentinelone/endpoint-protection`  | 
|  [Snyk](#integration-snyk)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<region>::product/snyk/snyk`  | 
|  [Sonrai Security – Sonrai Dig](#integration-sonrai-dig)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/sonrai-security/sonrai-dig`  | 
|  [Sophos – Server Protection](#integration-sophos-server-protection)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:062897671886:product/sophos/sophos-server-protection`  | 
|  [StackRox – StackRox Kubernetes Security](#integration-stackrox-kubernetes-security)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/stackrox/kubernetes-security`  | 
|  [Sumo Logic – Machine Data Analytics](#integration-sumologic-machine-data-analytics)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:956882708938:product/sumologicinc/sumologic-mda`  | 
|  [Symantec – Cloud Workload Protection](#integration-symantec-cloud-workload-protection)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:754237914691:product/symantec-corp/symantec-cwp`  | 
|  [Tenable – Tenable.io](#integration-tenable-tenableio)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:422820575223:product/tenable/tenable-io`  | 
|  [Trend Micro – Cloud One](#integration-trend-micro)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/trend-micro/cloud-one`  | 
|  [Vectra – Cognito Detect](#integration-vectra-ai-cognito-detect)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>:978576646331:product/vectra-ai/cognito-detect`  | 
|  [Wiz](#integration-wiz)  |  Sendet Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/wiz-security/wiz-security`  | 
|  [Atlassian - Jira Service Management](#integration-atlassian-jira-service-management)  |  Empfängt und aktualisiert Ergebnisse  |  Nicht zutreffend  | 
|  [Atlassian - Jira Service Management Cloud](#integration-atlassian-jira-service-management-cloud)  |  Empfängt und aktualisiert Ergebnisse  |  Nicht zutreffend  | 
|  [Atlassian – Opsgenie](#integration-atlassian-opsgenie)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [Dynatrace](#integration-dynatrace)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [Elastic](#integration-elastic)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [Fortinet – FortiCNP](#integration-fortinet-forticnp)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [IBM – QRadar](#integration-ibm-qradar)  |  Erhält Ergebnisse  | Nicht zutreffend | 
|  [Logz.io Cloud SIEM](#integration-logzio-cloud-siem)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [MetricStream](#integration-metricstream)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [MicroFocus – MicroFocus Arcsight](#integration-microfocus-arcsight)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [New Relic Vulnerability Management](#integration-new-relic-vulnerability-management)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [PagerDuty – PagerDuty](#integration-pagerduty)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [Palo Alto Networks – Cortex XSOAR](#integration-palo-alto-cortex-xsoar)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [Palo Alto Networks – VM-Series](#integration-palo-alto-vmseries)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [Rackspace Technology – Cloud Native Security](#integration-rackspace-cloud-native-security)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [Rapid7 – InsightConnect](#integration-rapid7-insightconnect)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [RSA – RSA Archer](#integration-rsa-archer)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [ServiceNow – ITSM](#integration-servicenow-itsm)  |  Empfängt und aktualisiert Ergebnisse  |  Nicht zutreffend  | 
|  [Slack – Slack](#integration-slack)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [Splunk – Splunk Enterprise](#integration-splunk-enterprise)  |  Erhält Ergebnisse  | Nicht zutreffend | 
|  [Splunk – Splunk Phantom](#integration-splunk-phantom)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [ThreatModeler](#integration-threatmodeler)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [Trellix – Trellix Helix](#integration-fireeye-helix)  |  Erhält Ergebnisse  |  Nicht zutreffend  | 
|  [Caveonix – Caveonix Cloud](#integration-caveonix-cloud)  |  Sendet und empfängt Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/caveonix/caveonix-cloud`  | 
|  [Cloud Custodian – Cloud Custodian](#integration-cloud-custodian)  |  Sendet und empfängt Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/cloud-custodian/cloud-custodian`  | 
|  [DisruptOps, Inc. – DisruptOPS](#integration-disruptops)  |  Sendet und empfängt Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/disruptops-inc/disruptops`  | 
|  [Kion](#integration-kion)  |  Sendet und empfängt Ergebnisse  |  `arn:aws:securityhub:<REGION>::product/cloudtamerio/cloudtamerio`  | 
|  [Turbot – Turbot](#integration-turbot)  |  Sendet und empfängt Ergebnisse  |  `arn:aws:securityhub:<REGION>:453761072151:product/turbot/turbot`  | 

## Integrationen von Drittanbietern, die Ergebnisse an Security Hub CSPM senden
<a name="integrations-third-party-send"></a>

Die folgenden Produktintegrationen von Drittanbietern können Ergebnisse an Security Hub CSPM senden. Security Hub CSPM wandelt die Ergebnisse in das [AWS Security](securityhub-findings-format.md) Finding Format um.

### 3CORESec – 3CORESec NTA
<a name="integration-3coresec-nta"></a>

**Integrationstyp**: Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/3coresec/3coresec`

3CORESecbietet verwaltete Erkennungsdienste sowohl für lokale Umgebungen als auch für AWS Systeme. Ihre Integration mit Security Hub CSPM ermöglicht Einblicke in Bedrohungen wie Malware, Rechteausweitung, laterale Bewegungen und unsachgemäße Netzwerksegmentierung.

[Link zum Produkt](https://3coresec.com)

[Dokumentation für Partner](https://docs.google.com/document/d/1TPUuuyoAVrMKRVnGKouRy384ZJ1-3xZTnruHkIHJqWQ/edit?usp=sharing)

### Alert Logic – SIEMless Threat Management
<a name="integration-alert-logic-siemless"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:733251395267:product/alertlogic/althreatmanagement`

Sorgen Sie für das richtige Maß an Schutz: Sichtbarkeit von Schwachstellen und Ressourcen, Bedrohungserkennung und Vorfallmanagement sowie zugewiesene SOC-Analystenoptionen. AWS WAF

[Link zum Produkt](https://www.alertlogic.com/solutions/platform/aws-security/)

[Dokumentation für Partner](https://docs.alertlogic.com/configure/aws-security-hub.htm)

### Aqua Security – Aqua Cloud Native Security Platform
<a name="integration-aqua-security-cloud-native-security-platform"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/aquasecurity/aquasecurity`

Aqua Cloud Native Security Platform (CSP)bietet Sicherheit über den gesamten Lebenszyklus von containerbasierten und serverlosen Anwendungen, von Ihrer CI/CD Pipeline bis hin zu Runtime-Produktionsumgebungen.

[Link zum Produkt](https://blog.aquasec.com/aqua-aws-security-hub)

[Dokumentation für Partner](https://github.com/aquasecurity/aws-security-hub-plugin)

### Aqua Security – Kube-bench
<a name="integration-aqua-security-kubebench"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/aqua-security/kube-bench`

Kube-benchist ein Open-Source-Tool, das den Kubernetes-Benchmark des Center for Internet Security (CIS) in Ihrer Umgebung ausführt.

[Link zum Produkt](https://github.com/aquasecurity/kube-bench/blob/master/README.md)

[Dokumentation für Partner](https://github.com/aquasecurity/kube-bench/blob/master/README.md)

### Armor – Armor Anywhere
<a name="integration-armor-anywhere"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:679703615338:product/armordefense/armoranywhere`

Armor Anywherebietet verwaltete Sicherheit und Compliance für AWS.

[Link zum Produkt](https://aws.amazon.com/marketplace/seller-profile?id=797425f4-6823-4cf6-82b5-634f9a9ec347)

[Dokumentation für Partner](https://amp.armor.com/account/cloud-connections)

### AttackIQ – AttackIQ
<a name="integration-attackiq"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/attackiq/attackiq-platform`

AttackIQ Platformemuliert echtes gegnerisches Verhalten im Einklang mit dem MITRE ATT&CK Framework, um Ihre allgemeine Sicherheitslage zu validieren und zu verbessern.

[Link zum Produkt](https://go.attackiq.com/BD-AWS-Security-Hub_LP.html)

[Dokumentation für Partner](https://github.com/AttackIQ/attackiq.github.io)

### Barracuda Networks – Cloud Security Guardian
<a name="integration-barracuda-cloud-security-guardian"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:151784055945:product/barracuda/cloudsecurityguardian`

Barracuda Cloud Security Sentryhilft Unternehmen dabei, beim Erstellen von Anwendungen in der Public Cloud und beim Verschieben von Workloads in die Public Cloud sicher zu bleiben.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/pp/B07KF2X7QJ)

[Link zum Produkt](https://www.barracuda.com/solutions/aws)

### BigID – BigID Enterprise
<a name="integration-bigid-enterprise"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/bigid/bigid-enterprise`

Das BigID Enterprise Privacy Management Platform hilft Unternehmen dabei, sensible Daten (PII) in all ihren Systemen zu verwalten und zu schützen.

[Link zum Produkt](https://github.com/bigexchange/aws-security-hub)

[Dokumentation für Partner](https://github.com/bigexchange/aws-security-hub)

### Blue Hexagon— Blue Hexagon für AWS
<a name="integration-blue-hexagon-for-aws"></a>

**Art der Integration:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/blue-hexagon/blue-hexagon-for-aws`

Blue Hexagonist eine Plattform zur Erkennung von Bedrohungen in Echtzeit. Sie verwendet Deep-Learning-Prinzipien, um bekannte und unbekannte Bedrohungen, einschließlich Malware und Netzwerkanomalien, zu erkennen.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/pp/prodview-fvt5ts3ulhrtk?sr=0-1&ref_=beagle&applicationId=AWSMPContessa)

[Dokumentation für Partner](https://bluehexagonai.atlassian.net/wiki/spaces/BHDOC/pages/395935769/Deploying+Blue+Hexagon+with+AWS+Traffic+Mirroring#DeployingBlueHexagonwithAWSTrafficMirroringDeployment-Integrations)

### Check Point – CloudGuard IaaS
<a name="integration-checkpoint-cloudguard-iaas"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:758245563457:product/checkpoint/cloudguard-iaas`

Check Point CloudGuarderweitert auf einfache Weise die umfassende Sicherheit zur Bedrohungsabwehr AWS und schützt gleichzeitig Ressourcen in der Cloud.

[Link zum Produkt](https://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f)

[Dokumentation für Partner](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk140412)

### Check Point – CloudGuard Posture Management
<a name="integration-checkpoint-cloudguard-posture-management"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:634729597623:product/checkpoint/dome9-arc`

Eine SaaS-Plattform, die überprüfbare Cloud-Netzwerksicherheit, fortschrittlichen IAM-Schutz sowie umfassende Compliance und Governance bietet.

[Link zum Produkt](https://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f)

[Dokumentation für Partner](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk144592&partition=General&product=CloudGuard)

### Claroty – xDome
<a name="integration-claroty-xdome"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/claroty/xdome`

Claroty xDomehilft Unternehmen dabei, ihre cyberphysischen Systeme im erweiterten Internet der Dinge (XIoT) in industriellen (OT), Gesundheits- (IoMT) und Unternehmensumgebungen (IoT) zu schützen.

[Link zum Produkt](https://claroty.com/)

[Dokumentation für Partner](https://claroty.com/resources/integration-briefs/the-claroty-aws-securityhub-integration-guide)

### Cloud Storage Security— Antivirus for Amazon S3
<a name="integration-cloud-storage-security-antivirus-for-s3"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/cloud-storage-security/antivirus-for-amazon-s3`

Cloud Storage Securitybietet Cloud-native Anti-Malware- und Antivirenscans für Amazon S3 S3-Objekte.

Antivirus for Amazon S3 bietet Echtzeit- und geplante Scans von Objekten und Dateien in Amazon S3 auf Malware und Bedrohungen. Es bietet Transparenz und Problembehebung bei problematischen und infizierten Dateien.

[Link zum Produkt](https://cloudstoragesec.com/)

[Dokumentation für Partner](https://help.cloudstoragesec.com/console-overview/console-settings/#send-scan-result-findings-to-aws-security-hub)

### Contrast Security – Contrast Assess
<a name="integration-contrast-security"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/contrast-security/security-assess`

Contrast Security Contrast Assessist ein IAST-Tool, das die Erkennung von Sicherheitslücken in Web-Apps und Microservices APIs in Echtzeit ermöglicht. Contrast Assesslässt sich in Security Hub CSPM integrieren, um zentrale Transparenz und Reaktionsfähigkeit für all Ihre Workloads zu gewährleisten.

[Link zum Produkt](https://aws.amazon.com/marketplace/pp/prodview-g5df2jw32felw)

[Dokumentation für Partner](https://docs.contrastsecurity.com/en/securityhub.html)

### CrowdStrike – CrowdStrike Falcon
<a name="integration-crowdstrike-falcon"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:517716713836:product/crowdstrike/crowdstrike-falcon`

Der CrowdStrike Falcon einzelne, leichte Sensor vereint Virenschutz der nächsten Generation, Endpunkterkennung und -abwehr sowie eine rund um die Uhr verwaltete Suche in der Cloud.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=f4fb055a-5333-4b6e-8d8b-a4143ad7f6c7)

[Dokumentation für Partner](https://github.com/CrowdStrike/falcon-integration-gateway)

### CyberArk – Privileged Threat Analytics
<a name="integration-cyberark-privileged-threat-analytics"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:749430749651:product/cyberark/cyberark-pta`

Privileged Threat AnalyticsErfassung, Erkennung und Reaktion auf risikoreiche Aktivitäten und Verhaltensweisen privilegierter Konten, um laufende Angriffe einzudämmen.

[Link zum Produkt](https://www.cyberark.com/solutions/digital-transformation/cloud-virtualization-security/)

[Dokumentation für Partner](https://cyberark-customers.force.com/mplace/s/#a352J000000dZATQA2-a392J000001Z3eaQAC)

### Data Theorem – Data Theorem
<a name="integration-data-theorem"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/data-theorem/api-cloud-web-secure`

Data Theoremscannt kontinuierlich Webanwendungen und Cloud-Ressourcen auf der Suche nach Sicherheitslücken und Datenschutzlücken, um AppSec Datenschutzverletzungen zu verhindern. APIs

[Link zum Produkt](https://www.datatheorem.com/partners/aws/)

[Dokumentation für Partner](https://datatheorem.atlassian.net/wiki/spaces/PKB/pages/1730347009/AWS+Security+Hub+Integration)

### Drata
<a name="integration-drata"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/drata/drata-integration`

Drataist eine Plattform zur Compliance-Automatisierung, mit der Sie die Einhaltung verschiedener Frameworks wie SOC2 ISO und GDPR erreichen und aufrechterhalten können. Die Integration zwischen Drata und Security Hub CSPM hilft Ihnen, Ihre Sicherheitserkenntnisse an einem Ort zu zentralisieren.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/pp/prodview-3ubrmmqkovucy)

[Dokumentation für Partner](https://drata.com/partner/aws)

### Forcepoint – Forcepoint CASB
<a name="integration-forcepoint-casb"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-casb`

Forcepoint CASBermöglicht es Ihnen, die Nutzung von Cloud-Anwendungen zu ermitteln, Risiken zu analysieren und angemessene Kontrollen für SaaS- und benutzerdefinierte Anwendungen durchzusetzen.

[Link zum Produkt](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[Dokumentation für Partner](https://frcpnt.com/casb-securityhub)

### Forcepoint – Forcepoint Cloud Security Gateway
<a name="integration-forcepoint-cloud-security-gateway"></a>

**Integrationstyp:** Senden

Produkt-ARN: `arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-cloud-security-gateway`

Forcepoint Cloud Security Gatewayist ein konvergenter Cloud-Sicherheitsdienst, der Transparenz, Kontrolle und Bedrohungsschutz für Benutzer und Daten bietet, egal wo sie sich befinden.

[Link zum Produkt](https://www.forcepoint.com/product/cloud-security-gateway)

[Dokumentation für Partner](https://forcepoint.github.io/docs/csg_and_aws_security_hub/#forcepoint-cloud-security-gateway-and-aws-security-hub)

### Forcepoint – Forcepoint DLP
<a name="integration-forcepoint-dlp"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-dlp`

Forcepoint DLPbegegnet Risiken, bei denen der Mensch im Mittelpunkt steht, und bietet Transparenz und Kontrolle überall dort, wo Ihre Mitarbeiter arbeiten und wo sich Ihre Daten befinden.

[Link zum Produkt](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[Dokumentation für Partner](https://frcpnt.com/dlp-securityhub)

### Forcepoint – Forcepoint NGFW
<a name="integration-forcepoint-ngfw"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-ngfw`

Forcepoint NGFWermöglicht es Ihnen, Ihre AWS Umgebung mit Ihrem Unternehmensnetzwerk zu verbinden und bietet die Skalierbarkeit, den Schutz und die Einblicke, die Sie benötigen, um Ihr Netzwerk zu verwalten und auf Bedrohungen zu reagieren.

[Link zum Produkt](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[Dokumentation für Partner](https://frcpnt.com/ngfw-securityhub)

### Fugue – Fugue
<a name="integration-fugue"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/fugue/fugue`

Fugueist eine skalierbare Cloud-native Plattform ohne Agenten, die die kontinuierliche Validierung von Cloud-Laufzeitumgebungen automatisiert infrastructure-as-code und dabei dieselben Richtlinien verwendet.

[Link zum Produkt](https://www.fugue.co/aws-security-hub-integration)

[Dokumentation für Partner](https://docs.fugue.co/integrations-aws-security-hub.html)

### Guardicore – Centra 4.0
<a name="integration-guardicore-centra"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/guardicore/guardicore`

Guardicore Centrabietet Flussvisualisierung, Mikrosegmentierung und Erkennung von Sicherheitslücken für Workloads in modernen Rechenzentren und Clouds.

[Link zum Produkt](https://aws.amazon.com/marketplace/seller-profile?id=21127457-7622-49be-81a6-4cb5dd77a088)

[Dokumentation für Partner](https://customers.guardicore.com/login)

### HackerOne – Vulnerability Intelligence
<a name="integration-hackerone-vulnerability-intelligence"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/hackerone/vulnerability-intelligence`

Die HackerOne Plattform arbeitet mit der weltweiten Hacker-Community zusammen, um die wichtigsten Sicherheitsprobleme aufzudecken. Vulnerability Intelligenceermöglicht es Ihrem Unternehmen, über automatisiertes Scannen hinauszugehen. Es enthält Sicherheitslücken, die von HackerOne ethischen Hackern validiert und Schritte zur Reproduktion bereitgestellt wurden.

[AWS Link zum Marktplatz](https://aws.amazon.com/marketplace/seller-profile?id=10857e7c-011b-476d-b938-b587deba31cf)

[Dokumentation für Partner](https://docs.hackerone.com/en/articles/8562571-aws-security-hub-integration)

### JFrog – Xray
<a name="integration-jfrog-xray"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/jfrog/jfrog-xray`

JFrog Xrayist ein universelles Tool zur Analyse der Anwendungssicherheit (Software Composition Analysis, SCA), das Binärdateien kontinuierlich auf Lizenzbestimmungen und Sicherheitslücken scannt, sodass Sie eine sichere Software-Lieferkette betreiben können.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=68002c4f-c9d1-4fa7-b827-fd7204523fb7)

[Dokumentation für Partner](https://www.jfrog.com/confluence/display/JFROG/Xray+Integration+with+AWS+Security+Hub)

### Juniper Networks – vSRX Next Generation Firewall
<a name="integration-junipernetworks-vsrxnextgenerationfirewall"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/juniper-networks/vsrx-next-generation-firewall`

Juniper Networks'vSRX Virtual Next Generation Firewall bietet eine vollständige cloudbasierte virtuelle Firewall mit erweiterter Sicherheit, sicherem SD-WAN, robustem Netzwerk und integrierter Automatisierung.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/pp/prodview-z7jcugjx442hw)

[Dokumentation für Partner](https://www.juniper.net/documentation/us/en/software/vsrx/vsrx-consolidated-deployment-guide/vsrx-aws/topics/topic-map/security-aws-cloudwatch-security-hub-and-logs.html#id-enable-and-configure-security-hub-on-vsrx)

[Link zum Produkt](https://www.juniper.net/documentation/us/en/software/vsrx/vsrx-consolidated-deployment-guide/vsrx-aws/topics/topic-map/security-aws-cloudwatch-security-hub-and-logs.html)

### k9 Security – Access Analyzer
<a name="integration-k9-security-access-analyzer"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/k9-security/access-analyzer`

k9 Securitybenachrichtigt Sie, wenn wichtige Zugangsänderungen in Ihrem AWS Identity and Access Management Konto vorgenommen werden. Damit können Sie nachvollziehenk9 Security, welchen Zugriff Benutzer und IAM-Rollen auf wichtige Daten AWS-Services und Ihre Daten haben.

k9 Securityist für Continuous Delivery konzipiert und ermöglicht Ihnen die Operationalisierung von IAM mit umsetzbaren Zugriffsprüfungen und einfacher Richtlinienautomatisierung für und Terraform. AWS CDK 

[Link zum Produkt](https://www.k9security.io/lp/operationalize-aws-iam-security-hub)

[Dokumentation für Partner](https://www.k9security.io/docs/how-to-configure-k9-access/)

### Lacework – Lacework
<a name="integration-lacework"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/lacework/lacework`

Laceworkist die datengesteuerte Sicherheitsplattform für die Cloud. Die Lacework Cloud Security Platform automatisiert Cloud-Sicherheit in großem Maßstab, sodass Sie schnell und sicher innovieren können.

[Link zum Produkt](https://www.lacework.com/platform/aws/)

[Dokumentation für Partner](https://www.lacework.com/platform/aws/)

### McAfee – MVISION Cloud Native Application Protection Platform (CNAPP)
<a name="integration-mcafee-mvision-cnapp"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/mcafee-skyhigh/mcafee-mvision-cloud-aws`

McAfee MVISION Cloud Native Application Protection Platform (CNAPP)bietet Cloud Security Posture Management (CSPM) und Cloud Workload Protection Platform (CWPP) für Ihre Umgebung. AWS 

[Link zum Produkt](https://aws.amazon.com/marketplace/pp/prodview-ol6txkzkdyacc)

[Dokumentation für Partner](https://success.myshn.net/Cloud_Native_Application_Protection_Platform_(IaaS)/Amazon_Web_Services_(AWS)/Integrate_MVISION_Cloud_with_AWS_Security_Hub)

### NETSCOUT – NETSCOUT Cyber Investigator
<a name="integration-netscout-cyber-investigator"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/netscout/netscout-cyber-investigator`

NETSCOUT Cyber Investigatorist eine unternehmensweite Plattform für Netzwerkbedrohungen, Risikountersuchungen und forensische Analysen, die dazu beiträgt, die Auswirkungen von Cyberbedrohungen auf Unternehmen zu verringern.

[Link zum Produkt](https://aws.amazon.com/marketplace/pp/prodview-reujxcu2cv3f4?qid=1608874215786&sr=0-1&ref_=srh_res_product_title)

[Dokumentation für Partner](https://www.netscout.com/solutions/cyber-investigator-aws)

### Orca Cloud Security Platform
<a name="integration-orca-cloud-security-platform"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/orca-security/orca-security`

Das Orca Cloud Security Platform identifiziert, priorisiert und behebt Risiken und Compliance-Probleme in Ihrer gesamten Cloud-Umgebung. Orca’sDie KI-gestützte Plattform ohne Agenten bietet umfassenden Schutz bei der Erkennung von Sicherheitslücken, Fehlkonfigurationen, lateralen Bewegungen, API-Risiken, sensiblen Daten, anomalen Ereignissen und Verhaltensweisen sowie übermäßig freizügigen Identitäten.

Orcalässt sich in Security Hub CSPM integrieren, um Deep-Cloud-Sicherheitstelemetrie in Security Hub CSPM zu integrieren. Orcasetzt seine SideScanning Technologie ein und priorisiert Risiken in Bezug auf Cloud-Infrastruktur, Workloads, Anwendungen, Daten, Identitäten und mehr. APIs

[Link zum Produkt](https://orca.security/partners/technology/amazon-web-services-aws/)

[Dokumentation für Partner](https://docs.orcasecurity.io/docs/integrating-amazon-security-hub)

### Palo Alto Networks – Prisma Cloud Compute
<a name="integration-palo-alto-prisma-cloud-compute"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:496947949261:product/twistlock/twistlock-enterprise`

Prisma Cloud Computeist eine Cloud-native Cybersicherheitsplattform VMs, die Container und serverlose Plattformen schützt.

[Link zum Produkt](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Dokumentation für Partner](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/alerts/aws_security_hub.html)

### Palo Alto Networks – Prisma Cloud Enterprise
<a name="integration-palo-alto-prisma-cloud-enterprise"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:188619942792:product/paloaltonetworks/redlock`

Schützt Ihre AWS Bereitstellung mit Cloud-Sicherheitsanalysen, fortschrittlicher Bedrohungserkennung und Compliance-Überwachung.

[Link zum Produkt](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Dokumentation für Partner](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin/configure-external-integrations-on-prisma-cloud/integrate-prisma-cloud-with-aws-security-hub)

### Plerion – Cloud Security Platform
<a name="integration-plerion"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/plerion/cloud-security-platform`

Plerionist eine Cloud-Sicherheitsplattform mit einem einzigartigen, bedrohungsorientierten, risikoorientierten Ansatz, der präventive, detektive und korrektive Maßnahmen für Ihre Workloads bietet. Die Integration zwischen Plerion und Security Hub CSPM ermöglicht es Kunden, ihre Sicherheitsergebnisse an einem Ort zu zentralisieren und entsprechend zu handeln.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=464b7833-edb8-43ee-b083-d8a298b7ba08)

[Dokumentation für Partner](https://au.app.plerion.com/resource-center/platform-documentation/integrations/outbound/securityHub)

### Prowler – Prowler
<a name="integration-prowler"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/prowler/prowler`

Prowlerist ein Open-Source-Sicherheitstool zur Durchführung von AWS Prüfungen in Bezug auf bewährte Sicherheitsverfahren, Abhärtung und kontinuierliche Überwachung.

[Link zum Produkt](https://github.com/prowler-cloud/prowler)

[Dokumentation für Partner](https://github.com/prowler-cloud/prowler#security-hub-integration)

### Qualys – Vulnerability Management
<a name="integration-qualys-vulnerability-management"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:805950163170:product/qualys/qualys-vm`

Qualys Vulnerability Management (VM)scannt und identifiziert kontinuierlich Sicherheitslücken und schützt so Ihre Ressourcen.

[Link zum Produkt](https://www.qualys.com/public-cloud/#aws)

[Dokumentation für Partner](https://qualys-secure.force.com/discussions/s/article/000005831)

### Rapid7 – InsightVM
<a name="integration-rapid7-insightvm"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:336818582268:product/rapid7/insightvm`

Rapid7 InsightVMbietet Schwachstellenmanagement für moderne Umgebungen, sodass Sie Sicherheitslücken effizient finden, priorisieren und beheben können.

[Link zum Produkt](https://www.rapid7.com/products/insightvm/)

[Dokumentation für Partner](https://docs.rapid7.com/insightvm/aws-security-hub/)

#### SentinelOne – SentinelOne
<a name="integration-sentinelone"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/sentinelone/endpoint-protection`

SentinelOneist eine autonome XDR-Plattform (Extended Detection and Response), die KI-gestützte Prävention, Erkennung, Reaktion und Suche über Endpunkte, Container, Cloud-Workloads und IoT-Geräte hinweg umfasst.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/pp/prodview-2qxvr62fng6li?sr=0-2&ref_=beagle&applicationId=AWSMPContessa)

[Link zum Produkt](https://www.sentinelone.com/press/sentinelone-announces-integration-with-aws-security-hub/)

### Snyk
<a name="integration-snyk"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/snyk/snyk`

Snykbietet eine Sicherheitsplattform, die App-Komponenten auf Sicherheitsrisiken in Workloads überprüft, auf AWS denen sie ausgeführt werden. Diese Risiken werden als Ergebnisse an Security Hub CSPM gesendet, sodass Entwickler und Sicherheitsteams sie zusammen mit den übrigen Sicherheitsergebnissen visualisieren und priorisieren können AWS .

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=bb528b8d-079c-455e-95d4-e68438530f85)

[Dokumentation für Partner](https://docs.snyk.io/integrations/event-forwarding/aws-security-hub)

### Sonrai Security – Sonrai Dig
<a name="integration-sonrai-dig"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/sonrai-security/sonrai-dig`

Sonrai Digüberwacht und behebt Cloud-Fehlkonfigurationen und Richtlinienverstöße, sodass Sie Ihren Sicherheits- und Compliance-Status verbessern können.

[Link zum Produkt](https://sonraisecurity.com/solutions/amazon-web-services-aws-and-sonrai-security/)

[Dokumentation für Partner](https://sonraisecurity.com/blog/monitor-privilege-escalation-risk-of-identities-from-aws-security-hub-with-integration-from-sonrai/)

### Sophos – Server Protection
<a name="integration-sophos-server-protection"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:062897671886:product/sophos/sophos-server-protection`

Sophos Server Protectionschützt die kritischen Anwendungen und Daten, die das Herzstück Ihres Unternehmens bilden, mithilfe umfassender defense-in-depth Techniken.

[Link zum Produkt](https://www.sophos.com/en-us/products/cloud-native-security/aws)

### StackRox – StackRox Kubernetes Security
<a name="integration-stackrox-kubernetes-security"></a>

**Integrationstyp: Senden**

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/stackrox/kubernetes-security`

StackRoxhilft Unternehmen dabei, ihre Container- und Kubernetes-Implementierungen in großem Umfang zu sichern, indem sie ihre Compliance- und Sicherheitsrichtlinien über den gesamten Container-Lebenszyklus hinweg durchsetzen — bei der Erstellung, Bereitstellung und Ausführung.

[Link zum Produkt](https://aws.amazon.com/marketplace/pp/B07RP4B4P1)

[Dokumentation für Partner](https://help.stackrox.com/docs/integrate-with-other-tools/integrate-with-aws-security-hub/)

### Sumo Logic – Machine Data Analytics
<a name="integration-sumologic-machine-data-analytics"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:956882708938:product/sumologicinc/sumologic-mda`

Sumo Logicist eine sichere Plattform zur Analyse von Maschinendaten, mit der Entwicklungs- und Sicherheitsteams ihre AWS Anwendungen erstellen, ausführen und sichern können.

[Link zum Produkt](https://www.sumologic.com/application/aws-security-hub/)

[Dokumentation für Partner](https://help.sumologic.com/07Sumo-Logic-Apps/01Amazon_and_AWS/AWS_Security_Hub)

### Symantec – Cloud Workload Protection
<a name="integration-symantec-cloud-workload-protection"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:754237914691:product/symantec-corp/symantec-cwp`

Cloud Workload Protectionbietet umfassenden Schutz für Ihre Amazon EC2 EC2-Instances mit Malware-Schutz, Intrusion Prevention und Überwachung der Dateiintegrität.

[Link zum Produkt](https://www.broadcom.com/products/cyber-security/endpoint/hybrid-cloud/cloud-workload-protection)

[Dokumentation für Partner](https://help.symantec.com/cs/scwp/SCWP/v130271667_v111037498/Intergration-with-AWS-Security-Hub/?locale=EN_US&sku=CWP_COMPUTE)

### Tenable – Tenable.io
<a name="integration-tenable-tenableio"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:422820575223:product/tenable/tenable-io`

Präzises Identifizieren, Untersuchen und Priorisieren von Schwachstellen. In der Cloud verwaltet.

[Link zum Produkt](https://www.tenable.com/)

[Dokumentation für Partner](https://github.com/tenable/Security-Hub)

### Trend Micro – Cloud One
<a name="integration-trend-micro"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/trend-micro/cloud-one`

Trend Micro Cloud Onestellt Teams zur richtigen Zeit und am richtigen Ort die richtigen Sicherheitsinformationen zur Verfügung. Diese Integration sendet Sicherheitsergebnisse in Echtzeit an Security Hub CSPM und verbessert so die Sichtbarkeit Ihrer AWS Ressourcen und Trend Micro Cloud One Ereignisdetails in Security Hub CSPM.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4)

[Dokumentation für Partner](https://cloudone.trendmicro.com/docs/integrations/aws-security-hub/)

### Vectra – Cognito Detect
<a name="integration-vectra-ai-cognito-detect"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>:978576646331:product/vectra-ai/cognito-detect`

Vectraverändert die Cybersicherheit, indem es fortschrittliche KI einsetzt, um versteckte Cyberangreifer zu erkennen und darauf zu reagieren, bevor sie stehlen oder Schaden anrichten können.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/pp/prodview-x2mabtjqsjb2w)

[Dokumentation für Partner](https://cognito-resource-guide.s3.us-west-2.amazonaws.com/Vectra_AWS_SecurityHub_Integration_Guide.pdf)

### Wiz – Wiz Security
<a name="integration-wiz"></a>

**Integrationstyp:** Senden

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/wiz-security/wiz-security`

Wizanalysiert kontinuierlich Konfigurationen, Sicherheitslücken, Netzwerke, IAM-Einstellungen, Geheimnisse und mehr für Sie AWS-Konten, Benutzer und Workloads, um kritische Probleme zu entdecken, die ein echtes Risiko darstellen. Integrieren Sie Wiz in Security Hub CSPM, um Probleme zu visualisieren und darauf zu reagieren, die Wiz von der Security Hub CSPM-Konsole aus erkennt.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/pp/prodview-wgtgfzwbk4ahy)

[Dokumentation für Partner](https://docs.wiz.io/wiz-docs/docs/security-hub-integration)

## Integrationen von Drittanbietern, die Ergebnisse von Security Hub CSPM erhalten
<a name="integrations-third-party-receive"></a>

Die folgenden Produktintegrationen von Drittanbietern können Ergebnisse von Security Hub CSPM erhalten. Sofern angegeben, aktualisiert das Produkt möglicherweise auch die Ergebnisse. In diesem Fall werden Aktualisierungen, die Sie an den Ergebnissen des Partnerprodukts vornehmen, auch in Security Hub CSPM widergespiegelt.

### Atlassian - Jira Service Management
<a name="integration-atlassian-jira-service-management"></a>

**Integrationstyp:** Empfangen und aktualisieren

Das AWS Service Management Connector for Jira sendet Ergebnisse von Security Hub CSPM an. Jira JiraProbleme werden auf der Grundlage der Ergebnisse erstellt. Wenn die Jira Probleme aktualisiert werden, werden die entsprechenden Ergebnisse in Security Hub CSPM aktualisiert.

Die Integration unterstützt nur Jira Server und Jira Data Center.

Einen Überblick über die Integration und ihre Funktionsweise finden Sie im Video [AWS Security Hub CSPM — Bidirektionale](https://www.youtube.com/watch?v=uEKwu0M8S3M) Integration mit. Atlassian Jira Service Management

[Link zum Produkt](https://www.atlassian.com/software/jira/service-management)

[Dokumentation für Partner](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-jiraservicedesk.html)

### Atlassian - Jira Service Management Cloud
<a name="integration-atlassian-jira-service-management-cloud"></a>

**Integrationstyp:** Empfangen und aktualisieren

Jira Service Management Cloudist die Cloud-Komponente von Jira Service Management. 

Das AWS Service Management Connector for Jira sendet Ergebnisse von Security Hub CSPM an. Jira Die Ergebnisse lösen die Entstehung von Problemen in aus. Jira Service Management Cloud Wenn Sie diese Probleme in aktualisierenJira Service Management Cloud, werden die entsprechenden Ergebnisse auch in Security Hub CSPM aktualisiert.

[Link zum Produkt](https://marketplace.atlassian.com/apps/1221283/aws-service-management-connector-for-jsm?tab=overview&hosting=cloud)

[Dokumentation für Partner](https://docs.aws.amazon.com/smc/latest/ag/integrations-jsmcloud.html)

### Atlassian – Opsgenie
<a name="integration-atlassian-opsgenie"></a>

**Integrationstyp:** Empfangen

Opsgenieist eine moderne Incident-Management-Lösung für den Betrieb ständig verfügbarer Dienste, die es Entwicklungs- und Betriebsteams ermöglicht, Serviceunterbrechungen zu planen und bei Vorfällen die Kontrolle zu behalten.

Durch die Integration mit Security Hub CSPM wird sichergestellt, dass geschäftskritische sicherheitsrelevante Vorfälle zur sofortigen Lösung an die entsprechenden Teams weitergeleitet werden.

[Link zum Produkt](https://www.atlassian.com/software/opsgenie)

[Dokumentation für Partner](https://docs.opsgenie.com/docs/amazon-security-hub-integration-bidirectional)

### Dynatrace
<a name="integration-dynatrace"></a>

**Integrationstyp:** Empfangen

Die Dynatrace Integration mit Security Hub CSPM hilft dabei, Sicherheitserkenntnisse in allen Tools und Umgebungen zu vereinheitlichen, zu visualisieren und zu automatisieren. Das Hinzufügen von Dynatrace Laufzeitkontexten zu den Sicherheitsergebnissen ermöglicht eine intelligentere Priorisierung, trägt dazu bei, die durch Warnmeldungen verursachten Störungen zu reduzieren und Ihre DevSecOps Teams darauf zu konzentrieren, die kritischen Probleme, die Ihre Produktionsumgebungen und Anwendungen betreffen, effizient zu beheben.

[Link zum Produkt](https://www.dynatrace.com/solutions/application-security/)

[Dokumentation für Partner](https://docs.dynatrace.com/docs/secure/threat-observability/security-events-ingest/ingest-aws-security-hub)

### Elastic
<a name="integration-elastic"></a>

**Integrationstyp:** Empfangen

Elasticentwickelt suchgestützte Lösungen für Sicherheit, Beobachtbarkeit und Suche. Mit der Security Hub CSPM-Integration werden Ergebnisse und Erkenntnisse aus Security Hub CSPM programmatisch Elastic aufgenommen, für Korrelation und Analyse normalisiert und einheitliche Dashboards und Erkennungen angezeigt, sodass eine schnellere Auswahl und Untersuchung ohne Einsatz von Agenten ermöglicht wird. Elastic Security

[Link zum Produkt](https://www.elastic.co/blog/elastic-integrates-leading-cloud-security-vendors)

[Dokumentation für Partner](https://www.elastic.co/docs/reference/integrations/aws/securityhub)

### Fortinet – FortiCNP
<a name="integration-fortinet-forticnp"></a>

**Integrationstyp:** Empfangen

FortiCNPist ein Cloud-Native-Protection-Produkt, das Sicherheitserkenntnisse zu umsetzbaren Erkenntnissen zusammenfasst und Sicherheitsinformationen auf der Grundlage der Risikobewertung priorisiert, um Alarmermüdung zu reduzieren und Problembehebungen zu beschleunigen.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/pp/prodview-vl24vc3mcb5ak)

[Dokumentation für Partner](https://docs.fortinet.com/document/forticnp/22.3.a/online-help/467775/aws-security-hub-configuration)

### IBM – QRadar
<a name="integration-ibm-qradar"></a>

**Integrationstyp:** Empfangen

IBM QRadarSIEM bietet Sicherheitsteams die Möglichkeit, Bedrohungen schnell und präzise zu erkennen, zu priorisieren, zu untersuchen und darauf zu reagieren.

[Link zum Produkt](https://www.ibm.com/docs/en/qradar-common?topic=app-aws-security-hub-integration)

[Dokumentation für Partner](https://www.ibm.com/docs/en/qradar-common?topic=configuration-integrating-aws-security-hub)

### Logz.io Cloud SIEM
<a name="integration-logzio-cloud-siem"></a>

**Integrationstyp:** Empfangen

Logz.ioist ein AnbieterCloud SIEM, der eine erweiterte Korrelation von Protokoll- und Ereignisdaten bereitstellt, um Sicherheitsteams dabei zu unterstützen, Sicherheitsbedrohungen in Echtzeit zu erkennen, zu analysieren und darauf zu reagieren.

[Link zum Produkt](https://logz.io/solutions/cloud-monitoring-aws/)

[Dokumentation für Partner](https://docs.logz.io/shipping/security-sources/aws-security-hub.html)

### MetricStream – CyberGRC
<a name="integration-metricstream"></a>

**Integrationstyp:** Empfangen

MetricStream CyberGRChilft Ihnen bei der Verwaltung, Messung und Minderung von Cybersicherheitsrisiken. Durch den Erhalt der CSPM-Ergebnisse von Security Hub erhalten Sie CyberGRC einen besseren Einblick in diese Risiken, sodass Sie Investitionen in Cybersicherheit priorisieren und IT-Richtlinien einhalten können.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)

[Link zum Produkt](https://www.metricstream.com/)

### MicroFocus – MicroFocus Arcsight
<a name="integration-microfocus-arcsight"></a>

**Integrationstyp:** Empfangen

ArcSightbeschleunigt die effektive Erkennung und Reaktion auf Bedrohungen in Echtzeit und integriert dabei die Korrelation von Ereignissen sowie überwachte und unbeaufsichtigte Analysen mit der Automatisierung und Orchestrierung von Reaktionen.

[Link zum Produkt](https://aws.amazon.com/marketplace/pp/B07RM918H7)

[Dokumentation für Partner](https://community.microfocus.com/cyberres/productdocs/w/connector-documentation/2768/smartconnector-for-amazon-web-services-security-hub)

### New Relic Vulnerability Management
<a name="integration-new-relic-vulnerability-management"></a>

**Integrationstyp:** Empfangen

New Relic Vulnerability Managementempfängt Sicherheitsergebnisse von Security Hub CSPM, sodass Sie einen zentralen Überblick über die Sicherheit und die Leistungstelemetrie im Kontext Ihres gesamten Stacks erhalten.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/pp/prodview-yg3ykwh5tmolg)

[Dokumentation für Partner](https://docs.newrelic.com/docs/vulnerability-management/integrations/aws/)

### PagerDuty – PagerDuty
<a name="integration-pagerduty"></a>

**Integrationstyp:** Empfangen

Die PagerDuty digitale Betriebsmanagement-Plattform ermöglicht es Teams, proaktiv Probleme zu lösen, die sich auf Kunden auswirken, indem jedes Signal automatisch in die richtigen Erkenntnisse und Maßnahmen umgewandelt wird.

AWS Benutzer können die PagerDuty Reihe von AWS Integrationen nutzen, um ihre AWS und hybride Umgebungen vertrauensvoll zu skalieren.

In Verbindung mit den aggregierten und organisierten Sicherheitswarnungen von Security Hub CSPM PagerDuty können Teams ihren Prozess zur Reaktion auf Bedrohungen automatisieren und schnell benutzerdefinierte Aktionen einrichten, um potenziellen Problemen vorzubeugen.

PagerDutyBenutzer, die ein Cloud-Migrationsprojekt durchführen, können schnell handeln und gleichzeitig die Auswirkungen von Problemen verringern, die während des Migrationszyklus auftreten.

[Link zum Produkt](https://aws.amazon.com/marketplace/pp/prodview-5sf6wkximaixc?ref_=srh_res_product_title)

[Dokumentation für Partner](https://support.pagerduty.com/docs/aws-security-hub-integration-guide-pagerduty)

### Palo Alto Networks – Cortex XSOAR
<a name="integration-palo-alto-cortex-xsoar"></a>

**Integrationstyp:** Empfangen

Cortex XSOARist eine SOAR-Plattform (Security Orchestration, Automation and Response), die sich in Ihr gesamtes Sicherheitsprodukteportfolio integrieren lässt, um die Reaktion auf Vorfälle und die Sicherheitsabläufe zu beschleunigen.

[Link zum Produkt](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Dokumentation für Partner](https://xsoar.pan.dev/docs/reference/integrations/aws---security-hub)

### Palo Alto Networks – VM-Series
<a name="integration-palo-alto-vmseries"></a>

**Integrationstyp:** Empfangen

Palo Alto VM-SeriesDie Integration mit Security Hub CSPM sammelt Bedrohungsinformationen und sendet sie als automatische Aktualisierung der Sicherheitsrichtlinien an die Firewall der VM-Series nächsten Generation, die böswillige IP-Adressaktivitäten blockiert.

[Link zum Produkt](https://github.com/PaloAltoNetworks/pan_aws_security_hub)

[Dokumentation für Partner](https://github.com/PaloAltoNetworks/pan_aws_security_hub)

### Rackspace Technology – Cloud Native Security
<a name="integration-rackspace-cloud-native-security"></a>

**Integrationstyp:** Empfangen

Rackspace Technology bietet zusätzlich zu systemeigenen Sicherheitsprodukten verwaltete AWS Sicherheitsdienste für die Überwachung rund um die Uhr durch Rackspace SOC, erweiterte Analysen und die Beseitigung von Bedrohungen.

[Link zum Produkt](https://www.rackspace.com/managed-aws/capabilities/security)

### Rapid7 – InsightConnect
<a name="integration-rapid7-insightconnect"></a>

**Integrationstyp**: Empfangen

Rapid7 InsightConnectist eine Lösung zur Sicherheitsorchestrierung und Automatisierung, mit der Ihr Team den SOC-Betrieb mit wenig bis gar keinem Code optimieren kann.

[Link zum Produkt](https://www.rapid7.com/platform/)

[Dokumentation für Partner](https://docs.rapid7.com/insightconnect/aws-security-hub/)

### RSA – RSA Archer
<a name="integration-rsa-archer"></a>

**Integrationstyp:** Empfangen

RSA ArcherMit IT- und Sicherheitsrisikomanagement können Sie ermitteln, welche Ressourcen für Ihr Unternehmen von entscheidender Bedeutung sind, Sicherheitsrichtlinien und -standards festlegen und kommunizieren, Angriffe erkennen und darauf reagieren, Sicherheitsmängel erkennen und beheben sowie klare Best Practices für das IT-Risikomanagement festlegen.

[Link zum Produkt](https://community.rsa.com/docs/DOC-111898)

[Dokumentation für Partner](https://community.rsa.com/docs/DOC-111898)

### ServiceNow – ITSM
<a name="integration-servicenow-itsm"></a>

**Integrationstyp:** Empfangen und aktualisieren

ServiceNowDurch die Integration mit Security Hub CSPM können die Sicherheitsergebnisse von Security Hub CSPM darin eingesehen werden. ServiceNow ITSM Sie können auch so konfigurierenServiceNow, dass automatisch ein Vorfall oder ein Problem erstellt wird, wenn es einen Befund von Security Hub CSPM erhält.

Alle Aktualisierungen dieser Vorfälle und Probleme führen zu Aktualisierungen der Ergebnisse in Security Hub CSPM.

Einen Überblick über die Integration und ihre Funktionsweise finden Sie im Video [AWS Security Hub CSPM — Bidirektionale](https://www.youtube.com/watch?v=OYTi0sjEggE) Integration mit.  ServiceNow ITSM

[Link zum Produkt](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-servicenow.html)

[Dokumentation für Partner](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/securityhub-config.html)

### Slack – Slack
<a name="integration-slack"></a>

**Integrationstyp:** Empfangen

Slackist eine Ebene des Technologie-Stacks für Unternehmen, die Menschen, Daten und Anwendungen zusammenbringt. Es ist ein zentraler Ort, an dem Menschen effektiv zusammenarbeiten, wichtige Informationen finden und auf Hunderttausende kritischer Anwendungen und Services zugreifen können, um Spitzenleistungen zu erbringen.

[Link zum Produkt](https://github.com/aws-samples/aws-securityhub-to-slack)

[Dokumentation für Partner](https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html)

### Splunk – Splunk Enterprise
<a name="integration-splunk-enterprise"></a>

**Integrationstyp:** Empfangen

Splunkverwendet Amazon CloudWatch Events als Nutzer von Security Hub CSPM-Ergebnissen. Senden Sie Ihre Daten Splunk für erweiterte Sicherheitsanalysen und SIEM an.

[Link zum Produkt](https://splunkbase.splunk.com/app/5767)

[Dokumentation für Partner](https://github.com/splunk/splunk-for-securityHub)

### Splunk – Splunk Phantom
<a name="integration-splunk-phantom"></a>

**Integrationstyp:** Empfangen

Mit der Splunk Phantom Anwendung für AWS Security Hub CSPM werden die Ergebnisse Phantom zur automatisierten Kontextanreicherung mit zusätzlichen Bedrohungsinformationen oder zur Durchführung automatisierter Reaktionsmaßnahmen gesendet.

[Link zum Produkt](https://splunkbase.splunk.com/app/5767)

[Dokumentation für Partner](https://splunkphantom.s3.amazonaws.com/phantom-sechub-setup.html)

### ThreatModeler
<a name="integration-threatmodeler"></a>

**Integrationstyp:** Empfangen

ThreatModelerist eine automatisierte Lösung zur Bedrohungsmodellierung, die den Lebenszyklus von Unternehmenssoftware und Cloud-Entwicklung schützt und skaliert.

[Link zum Produkt](https://aws.amazon.com/marketplace/pp/B07S65ZLPQ)

[Dokumentation für Partner](https://threatmodeler-setup-quickstart.s3.amazonaws.com/ThreatModeler+Setup+Guide/ThreatModeler+Setup+%26+Deployment+Guide.pdf)

### Trellix – Trellix Helix
<a name="integration-fireeye-helix"></a>

**Integrationstyp:** Empfangen

Trellix Helixist eine in der Cloud gehostete Plattform für Sicherheitsoperationen, die es Unternehmen ermöglicht, die Kontrolle über jeden Vorfall von der Warnung bis zur Behebung zu übernehmen.

[Link zum Produkt](https://www.trellix.com/en-us/products/helix.html)

[Dokumentation für Partner](https://docs.trellix.com/bundle/fe-helix-enterprise-landing/)

## Integrationen von Drittanbietern, die Ergebnisse an Security Hub CSPM senden und Ergebnisse von Security Hub empfangen
<a name="integrations-third-party-send-receive"></a>

Die folgenden Produktintegrationen von Drittanbietern können Ergebnisse an Security Hub CSPM senden und Ergebnisse von Security Hub CSPM empfangen.

### Caveonix – Caveonix Cloud
<a name="integration-caveonix-cloud"></a>

**Integrationstyp: Senden** und Empfangen

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/caveonix/caveonix-cloud`

Die Caveonix KI-gestützte Plattform automatisiert Transparenz, Bewertung und Risikominderung in Hybrid-Clouds und deckt Cloud-native Dienste und Container ab. VMs Integriert in AWS Security Hub CSPM, Caveonix führt AWS Daten und erweiterte Analysen zusammen, um Einblicke in Sicherheitswarnungen und Compliance zu erhalten.

[AWS Link zum Marketplace](https://aws.amazon.com/marketplace/pp/prodview-v6nlnxa5e67es)

[Dokumentation für Partner](https://support.caveonix.com/hc/en-us/articles/18171468832529-App-095-How-to-Integration-AWS-Security-Hub-with-Caveonix-Cloud-)

### Cloud Custodian – Cloud Custodian
<a name="integration-cloud-custodian"></a>

**Integrationstyp:** Senden und Empfangen

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/cloud-custodian/cloud-custodian`

Cloud Custodianermöglicht es Benutzern, in der Cloud gut verwaltet zu werden. Das einfache YAML-DSL ermöglicht einfach zu definierende Regeln, um eine gut verwaltete Cloud-Infrastruktur zu ermöglichen, die sowohl sicher als auch kostenoptimiert ist.

[Link zum Produkt](https://cloudcustodian.io/docs/aws/topics/securityhub.html)

[Dokumentation für Partner](https://cloudcustodian.io/docs/aws/topics/securityhub.html)

### DisruptOps, Inc. – DisruptOPS
<a name="integration-disruptops"></a>

**Integrationstyp:** Senden und Empfangen

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/disruptops-inc/disruptops`

Die DisruptOps Security Operations Platform unterstützt Unternehmen dabei, mithilfe automatisierter Leitplanken die besten Sicherheitspraktiken in Ihrer Cloud aufrechtzuerhalten.

[Link zum Produkt](https://disruptops.com/ad/securityhub-isa/)

[Dokumentation für Partner](https://disruptops.com/securityhub/)

### Kion
<a name="integration-kion"></a>

**Integrationstyp:** Senden und Empfangen

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/cloudtamerio/cloudtamerio`

Kion(ehemals cloudtamer.io) ist eine komplette Cloud-Governance-Lösung für. AWSKionbietet Stakeholdern Einblick in den Cloud-Betrieb und hilft Cloud-Nutzern dabei, Konten zu verwalten, Budget und Kosten zu kontrollieren und die kontinuierliche Einhaltung von Vorschriften sicherzustellen.

[Link zum Produkt](https://kion.io/partners/aws)

[Dokumentation für Partner](https://support.kion.io/hc/en-us/articles/360046647551-AWS-Security-Hub)

### Turbot – Turbot
<a name="integration-turbot"></a>

**Integrationstyp:** Senden und Empfangen

**Produkt-ARN:** `arn:aws:securityhub:<REGION>::product/turbot/turbot`

Turbotstellt sicher, dass Ihre Cloud-Infrastruktur sicher, konform, skalierbar und kostenoptimiert ist.

[Link zum Produkt](https://turbot.com/features/)

[Dokumentation für Partner](https://turbot.com/blog/2018/11/aws-security-hub/)

# Integration von Security Hub CSPM mit kundenspezifischen Produkten
<a name="securityhub-custom-providers"></a>

Zusätzlich zu den Ergebnissen, die durch integrierte AWS Dienste und Produkte von Drittanbietern generiert wurden, kann AWS Security Hub CSPM auch Erkenntnisse nutzen, die von anderen kundenspezifischen Sicherheitsprodukten generiert wurden.

Sie können diese Ergebnisse mithilfe der Security Hub CSPM-API an [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)Security Hub CSPM senden. Sie können denselben Vorgang verwenden, um Ergebnisse von benutzerdefinierten Produkten zu aktualisieren, die Sie bereits an Security Hub CSPM gesendet haben.

Verwenden Sie bei der Einrichtung der benutzerdefinierten Integration die [Richtlinien und Checklisten](https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-guidelines-checklists.html) im *Security Hub CSPM* Partner Integration Guide.

## Anforderungen und Empfehlungen für kundenspezifische Produktintegrationen
<a name="securityhub-custom-providers-bfi-reqs"></a>

Bevor Sie den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)API-Vorgang erfolgreich aufrufen können, müssen Sie Security Hub CSPM aktivieren.

Sie müssen außerdem mithilfe von Suchdetails für das benutzerdefinierte Produkt angeben. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md) Lesen Sie sich die folgenden Anforderungen und Empfehlungen für kundenspezifische Produktintegrationen durch:

**Einstellen des Produkt-ARNs**  
Wenn Sie Security Hub CSPM aktivieren, wird ein Standardprodukt Amazon Resource Name (ARN) für Security Hub CSPM in Ihrem aktuellen Konto generiert.  
Dieser Produkt-ARN weist das folgende Format auf: `arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default`. Beispiel, `arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default`.  
Verwenden Sie diesen Produkt-ARN als Wert für das [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn)-Attribut, wenn Sie die `BatchImportFindings`-API-Operation aufrufen.

**Festlegung der Firmen- und Produktnamen**  
Sie können `BatchImportFindings` damit einen bevorzugten Firmen- und Produktnamen für die benutzerdefinierte Integration festlegen, die Ergebnisse an Security Hub CSPM sendet.  
Ihre angegebenen Namen ersetzen den vorkonfigurierten Firmennamen und den Produktnamen, genannt persönlicher Name bzw. Standardname, und werden in der Security Hub CSPM-Konsole und in der JSON jedes Ergebnisses angezeigt. Siehe [BatchImportFindings um Anbieter zu finden](finding-update-batchimportfindings.md).

**Festlegung des Ergebnisses IDs**  
Sie müssen Ihr eigenes Ergebnis mithilfe des [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id)Attributs angeben IDs, verwalten und erhöhen.  
Jeder neue Befund sollte eine eindeutige Ergebnis-ID haben. Wenn das benutzerdefinierte Produkt mehrere Ergebnisse mit derselben Befund-ID sendet, verarbeitet Security Hub CSPM nur den ersten Befund.

**Einstellen der Konto-ID**  
Sie müssen mit dem [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId)-Attribut Ihre eigene Konto-ID angeben.

**Einstellen Erstellungs- und Aktualisierungsdatums**  
Sie müssen eigene Zeitstempel für die Attribute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt) und [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt) angeben.

## Importieren von Ergebnissen aus benutzerdefinierten Produkten
<a name="securityhub-custom-providers-update-findings"></a>

Zusätzlich zum Senden neuer Ergebnisse aus benutzerdefinierten Produkten können Sie auch die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)-API-Operation verwenden, um vorhandene Ergebnisse aus benutzerdefinierten Produkten zu aktualisieren.

Um vorhandene Ergebnisse zu aktualisieren, verwenden Sie die vorhandene Ergebnis-ID (über das [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id)-Attribut). Senden Sie das vollständige Ergebnis erneut mit den entsprechenden Informationen, die in der Anforderung aktualisiert wurden, einschließlich eines geänderten [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt)-Zeitstempels.

## Beispiel für benutzerdefinierte Integrationen
<a name="securityhub-custom-providers-examples"></a>

Sie können das folgende Beispiel für benutzerdefinierte Produktintegrationen als Leitfaden verwenden, um Ihre eigenen maßgeschneiderten Lösungen zu erstellen:

**Ergebnisse von Chef InSpec Scans an Security Hub CSPM senden**  
Sie können eine CloudFormation Vorlage erstellen, die einen [Chef InSpec](https://www.chef.io/products/chef-inspec/) Konformitätsscan durchführt und die Ergebnisse dann an Security Hub CSPM sendet.  
Weitere Informationen finden Sie unter [Kontinuierliche Compliance-Überwachung mit Chef InSpec und AWS Security Hub CSPM](https://aws.amazon.com/blogs/security/continuous-compliance-monitoring-with-chef-inspec-and-aws-security-hub/).

**Von entdeckte Container-Schwachstellen Trivy an Security Hub CSPM senden**  
Sie können eine CloudFormation Vorlage erstellen, mit der Container [AquaSecurity Trivy](https://github.com/aquasecurity/trivy) nach Sicherheitslücken gescannt werden, und die gefundenen Sicherheitslücken dann an Security Hub CSPM gesendet werden.  
Weitere Informationen finden Sie unter [So erstellen Sie eine CI/CD Pipeline für Container-Schwachstellenscans mit Trivy und AWS Security Hub CSPM](https://aws.amazon.com/blogs/security/how-to-build-ci-cd-pipeline-container-vulnerability-scanning-trivy-and-aws-security-hub/).

# Ergebnisse in Security Hub CSPM erstellen und aktualisieren
<a name="securityhub-findings"></a>

In AWS Security Hub CSPM ist ein *Befund* eine beobachtbare Aufzeichnung einer Sicherheitsüberprüfung oder einer sicherheitsrelevanten Entdeckung. Ein Befund kann aus einer der folgenden Quellen stammen:
+ Eine Sicherheitsüberprüfung für ein Steuerelement in Security Hub CSPM.
+ Eine Integration mit einem anderen. AWS-Service
+ Eine Integration mit einem Drittanbieterprodukt.
+ Eine benutzerdefinierte Integration.

Security Hub CSPM normalisiert Ergebnisse aus allen Quellen in eine Standardsyntax und ein Standardformat, das als *AWS Security Finding Format (*ASFF) bezeichnet wird. Ausführliche Informationen zu diesem Format, einschließlich Beschreibungen der einzelnen ASFF-Felder, finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md) Wenn Sie die regionsübergreifende Aggregation aktivieren, aggregiert Security Hub CSPM auch automatisch neue und aktualisierte Ergebnisse aus allen verknüpften Regionen in eine von Ihnen angegebene Aggregationsregion. Weitere Informationen finden Sie unter [Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM](finding-aggregation.md).

Nachdem ein Ergebnis erstellt wurde, kann es wie folgt aktualisiert werden:
+ Ein Findungsanbieter kann den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)Betrieb der Security Hub CSPM-API verwenden, um allgemeine Informationen über das Ergebnis zu aktualisieren. Ergebnisanbieter können nur Ergebnisse aktualisieren, die sie erstellt haben.
+ Ein Kunde kann die Security Hub CSPM-Konsole oder den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)Betrieb der Security Hub CSPM-API verwenden, um den Status der Untersuchung des Ergebnisses zu aktualisieren. Der `BatchUpdateFindings` Vorgang kann auch von einem SIEM-, Ticketing-, Incident Management-, SOAR- oder anderen Tools im Namen eines Kunden genutzt werden.

Security Hub CSPM löscht automatisch Ergebnisse, die in letzter Zeit nicht aktualisiert wurden, um das Auffinden zu reduzieren und die Nachverfolgung und Analyse einzelner Ergebnisse zu optimieren. Der Zeitpunkt, zu dem Security Hub CSPM dies tut, hängt davon ab, ob ein Ergebnis aktiv oder archiviert ist:
+ Ein *aktives Ergebnis* ist ein Befund, dessen Datensatzstatus (`RecordState`) ist. `ACTIVE` Security Hub CSPM speichert aktive Ergebnisse 90 Tage lang. Wenn ein aktives Ergebnis 90 Tage lang nicht aktualisiert wurde, läuft es ab und Security Hub CSPM löscht es dauerhaft.
+ Ein *archiviertes Ergebnis* ist ein Befund mit dem Datensatzstatus ()`RecordState`. `ARCHIVED` Security Hub CSPM speichert archivierte Ergebnisse 30 Tage lang. Wenn ein archiviertes Ergebnis 30 Tage lang nicht aktualisiert wurde, läuft es ab und Security Hub CSPM löscht es dauerhaft.

Bei Kontrollergebnissen, d. h. Ergebnissen, die Security Hub CSPM aus Sicherheitsprüfungen für Kontrollen generiert, bestimmt Security Hub CSPM anhand des Werts für das `UpdatedAt` Feld des Ergebnisses, ob ein Ergebnis abgelaufen ist. Wenn dieser Wert für einen aktiven Befund mehr als 90 Tage zurückliegt, löscht Security Hub CSPM den Befund dauerhaft. Wenn dieser Wert für einen archivierten Befund vor mehr als 30 Tagen lag, löscht Security Hub CSPM den Befund dauerhaft.

Für alle anderen Arten von Ergebnissen bestimmt Security Hub CSPM anhand der Werte für die `UpdatedAt` Felder `ProcessedAt` und des Ergebnisses, ob ein Ergebnis abgelaufen ist. Security Hub CSPM vergleicht die Werte für diese Felder und ermittelt, welcher aktueller ist. Wenn der neuere Wert für einen aktiven Befund vor mehr als 90 Tagen liegt, löscht Security Hub CSPM den Befund dauerhaft. Wenn der neuere Wert für ein archiviertes Ergebnis mehr als 30 Tage zurückliegt, löscht Security Hub CSPM das Ergebnis dauerhaft. Die Suche nach Anbietern kann den Wert für das `UpdatedAt` Feld eines oder mehrerer Ergebnisse mithilfe der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)Security Hub CSPM-API ändern.

Für eine längerfristige Aufbewahrung von Ergebnissen können Sie Ergebnisse in einen S3-Bucket exportieren. Sie können dies tun, indem Sie eine benutzerdefinierte Aktion mit einer EventBridge Amazon-Regel verwenden. Weitere Informationen finden Sie unter [Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen](securityhub-cloudwatch-events.md).

**Topics**
+ [

# BatchImportFindings um Anbieter zu finden
](finding-update-batchimportfindings.md)
+ [

# BatchUpdateFindings für Kunden
](finding-update-batchupdatefindings.md)
+ [

# Überprüfung der Funddetails und des Verlaufs in Security Hub CSPM
](securityhub-findings-viewing.md)
+ [

# Ergebnisse im Security Hub CSPM filtern
](securityhub-findings-manage.md)
+ [

# Gruppierung der Ergebnisse in Security Hub CSPM
](finding-list-grouping.md)
+ [

# Den Workflow-Status von Ergebnissen in Security Hub CSPM festlegen
](findings-workflow-status.md)
+ [

# Ergebnisse an eine benutzerdefinierte Security Hub CSPM-Aktion senden
](findings-custom-action.md)
+ [

# AWS Format für Sicherheitssuche (ASFF)
](securityhub-findings-format.md)

# BatchImportFindings um Anbieter zu finden
<a name="finding-update-batchimportfindings"></a>

Finding Provider können den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)Vorgang nutzen, um neue Erkenntnisse in AWS Security Hub CSPM zu erstellen. Sie können diesen Vorgang auch verwenden, um die von ihnen erstellten Ergebnisse zu aktualisieren. Die Suche nach Anbietern kann keine Ergebnisse aktualisieren, die sie nicht selbst erstellt haben.

Kunden SIEMs, Ticketverkauf, SOAR und andere Arten von Tools müssen den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)Vorgang verwenden, um Aktualisierungen im Zusammenhang mit ihrer Untersuchung der Ergebnisse aus der Suche nach Anbietern vorzunehmen. Weitere Informationen finden Sie unter [BatchUpdateFindings für Kunden](finding-update-batchupdatefindings.md).

Wenn Security Hub CSPM eine `BatchImportFindings` Anfrage zur Erstellung oder Aktualisierung eines Ergebnisses erhält, generiert es automatisch ein **Security Hub Findings - Imported**Ereignis in Amazon. EventBridge Sie können bei diesem Ereignis automatisierte Maßnahmen ergreifen. Weitere Informationen finden Sie unter [Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen](securityhub-cloudwatch-events.md).

## Voraussetzungen für die Verwendung von `BatchImportFindings`
<a name="batchimportfindings-accounts-batch-size"></a>

`BatchImportFindings`muss von einer der folgenden Personen aufgerufen werden:
+ Das Konto, das mit den Ergebnissen verknüpft ist. Die Kennung des verknüpften Kontos muss mit dem Wert des `AwsAccountId` Attributs für den Befund übereinstimmen.
+ Ein Konto, das als offizielle Security Hub CSPM-Partnerintegration zugelassen ist.

Security Hub CSPM kann nur die Suche nach Updates für Konten akzeptieren, für die Security Hub CSPM aktiviert ist. Der Ergebnisanbieter muss ebenfalls aktiviert sein. Wenn Security Hub CSPM deaktiviert oder die Finding Provider-Integration nicht aktiviert ist, werden die Ergebnisse in der `FailedFindings` Liste mit einem `InvalidAccess` Fehler zurückgegeben.

## Festlegen, ob ein Ergebnis erstellt oder aktualisiert werden soll
<a name="batchimportfindings-create-or-update"></a>

Um festzustellen, ob ein Ergebnis erstellt oder aktualisiert werden soll, überprüft Security Hub CSPM das `ID` Feld. Wenn der Wert von `ID` nicht mit einem vorhandenen Ergebnis übereinstimmt, erstellt Security Hub CSPM ein neues Ergebnis.

Wenn es `ID` mit einem vorhandenen Ergebnis übereinstimmt, überprüft Security Hub CSPM das `UpdatedAt` Feld auf das Update und geht wie folgt vor:
+ Wenn das Update mit `UpdatedAt` dem vorhandenen Ergebnis übereinstimmt oder davor `UpdatedAt` auftritt, ignoriert Security Hub CSPM die Aktualisierungsanfrage.
+ Wenn `UpdatedAt` das Update nach `UpdatedAt` dem vorhandenen Befund erfolgt, aktualisiert Security Hub CSPM den vorhandenen Befund.

## Einschränkungen beim Auffinden von Updates mit `BatchImportFindings`
<a name="batchimportfindings-restricted-fields"></a>

Die Suche nach Anbietern kann nicht verwendet `BatchImportFindings` werden, um die folgenden Attribute eines vorhandenen Ergebnisses zu aktualisieren:
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Security Hub CSPM ignoriert alle Inhalte, die in einer `BatchImportFindings` Anfrage für diese Attribute bereitgestellt werden. Kunden oder Organisationen, die in ihrem Namen handeln (z. B. Ticketing-Tools), können diese Attribute verwenden, `BatchUpdateFindings` um sie zu aktualisieren.

## Aktualisierung der Ergebnisse mit FindingProviderFields
<a name="batchimportfindings-findingproviderfields"></a>

Finding Providers sollte außerdem nicht verwendet werden`BatchImportFindings`, um die folgenden Top-Level-Attribute im AWS Security Finding Format (ASFF) zu aktualisieren:
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

Stattdessen sollte die Suche nach Anbietern das [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields)Objekt verwenden, um Werte für diese Attribute bereitzustellen.

**Beispiel**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

Bei `BatchImportFindings` Anfragen verarbeitet Security Hub CSPM Werte in den Attributen der obersten Ebene und wie folgt. [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields)

**(Preferred) `BatchImportFindings` liefert einen Wert für ein Attribut in [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields), aber keinen Wert für das entsprechende Attribut der obersten Ebene.**  
Zum Beispiel `BatchImportFindings` liefert`FindingProviderFields.Confidence`, aber nicht. `Confidence` Dies ist die bevorzugte Option für `BatchImportFindings` Anfragen.  
Security Hub CSPM aktualisiert den Wert des Attributs in. `FindingProviderFields`  
Es repliziert den Wert nur dann in das Attribut der obersten Ebene, wenn das Attribut nicht bereits von aktualisiert wurde. `BatchUpdateFindings`

**`BatchImportFindings`liefert einen Wert für ein Attribut der obersten Ebene, aber keinen Wert für das entsprechende Attribut in. `FindingProviderFields`**  
Stellt beispielsweise `BatchImportFindings` bereit`Confidence`, liefert aber nicht. `FindingProviderFields.Confidence`  
Security Hub CSPM verwendet den Wert, um das Attribut in zu aktualisieren. `FindingProviderFields` Es überschreibt jeden vorhandenen Wert.  
Security Hub CSPM aktualisiert das Attribut der obersten Ebene nur, wenn das Attribut nicht bereits von aktualisiert wurde. `BatchUpdateFindings`

**`BatchImportFindings`stellt einen Wert sowohl für ein Attribut der obersten Ebene als auch für das entsprechende Attribut in bereit. `FindingProviderFields`**  
`BatchImportFindings`Stellt beispielsweise sowohl als auch `Confidence` bereit. `FindingProviderFields.Confidence`  
Für ein neues Ergebnis verwendet Security Hub CSPM den Wert in, `FindingProviderFields` um sowohl das oberste Ebenenattribut als auch das entsprechende Attribut in aufzufüllen. `FindingProviderFields` Der angegebene Attributwert der obersten Ebene wird nicht verwendet.  
Für ein vorhandenes Ergebnis verwendet Security Hub CSPM beide Werte. Der Attributwert der obersten Ebene wird jedoch nur aktualisiert, wenn das Attribut nicht bereits von aktualisiert wurde. `BatchUpdateFindings`

# BatchUpdateFindings für Kunden
<a name="finding-update-batchupdatefindings"></a>

AWS Security Hub CSPM-Kunden und in ihrem Namen handelnde Unternehmen können den [BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)Vorgang nutzen, um Informationen im Zusammenhang mit der Verarbeitung von Security Hub CSPM-Ergebnissen von suchenden Anbietern zu aktualisieren. Als Kunde können Sie diesen Vorgang direkt nutzen. SIEM-, Ticketing-, Incident Management- und SOAR-Tools können diesen Vorgang auch im Auftrag eines Kunden nutzen.

Sie können den `BatchUpdateFindings` Vorgang nicht verwenden, um neue Erkenntnisse zu gewinnen. Sie können ihn jedoch verwenden, um bis zu 100 vorhandene Ergebnisse gleichzeitig zu aktualisieren. In einer `BatchUpdateFindings` Anfrage geben Sie an, welche Ergebnisse aktualisiert werden sollen, welche ASFF-Felder ( AWS Security Finding Format) für die Ergebnisse aktualisiert werden sollen, und die neuen Werte für die Felder. Security Hub CSPM aktualisiert dann die Ergebnisse wie in Ihrer Anfrage angegeben. Dieser Vorgang kann einige Minuten dauern. Wenn Sie die Ergebnisse mithilfe des `BatchUpdateFindings` Vorgangs aktualisieren, wirken sich Ihre Aktualisierungen nicht auf die vorhandenen Werte für das `UpdatedAt` Ergebnisfeld aus.

Wenn Security Hub CSPM eine `BatchUpdateFindings` Anfrage zur Aktualisierung eines Ergebnisses erhält, generiert es automatisch ein **Security Hub Findings – Imported**Ereignis in Amazon. EventBridge Sie können dieses Ereignis optional verwenden, um automatisierte Maßnahmen in Bezug auf das angegebene Ergebnis zu ergreifen. Weitere Informationen finden Sie unter [Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen](securityhub-cloudwatch-events.md).

## Verfügbare Felder für BatchUpdateFindings
<a name="batchupdatefindings-fields"></a>

Wenn Sie mit einem Security Hub CSPM-Administratorkonto angemeldet sind, können Sie `BatchUpdateFindings` damit Ergebnisse aktualisieren, die vom Administratorkonto oder den Mitgliedskonten generiert wurden. Mitgliedskonten können nur `BatchUpdateFindings` zur Aktualisierung der Ergebnisse für ihr Konto verwendet werden.

Kunden können `BatchUpdateFindings` damit die folgenden Felder und Objekte aktualisieren:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

## Konfiguration des Zugriffs auf BatchUpdateFindings
<a name="batchupdatefindings-configure-access"></a>

Sie können AWS Identity and Access Management (IAM-) Richtlinien konfigurieren, um den Zugriff auf die Verwendung `BatchUpdateFindings` zur Aktualisierung von Suchfeldern und Feldwerten einzuschränken.

Verwenden Sie in einer Anweisung, auf die der Zugriff beschränkt werden soll`BatchUpdateFindings`, die folgenden Werte:
+ `Action` ist `securityhub:BatchUpdateFindings`
+ `Effect` ist `Deny`
+ Denn `Condition` Sie können eine `BatchUpdateFindings` Anfrage auf folgender Grundlage ablehnen:
  + Das Ergebnis umfasst ein bestimmtes Feld.
  + Das Ergebnis beinhaltet einen bestimmten Feldwert.

### Bedingungsschlüssel
<a name="batchupdatefindings-configure-access-context-keys"></a>

Dies sind die Bedingungsschlüssel für die Einschränkung des Zugriffs auf`BatchUpdateFindings`.

**ASFF-Feld**  
Der Bedingungsschlüssel für ein ASFF-Feld lautet wie folgt:  

```
securityhub:ASFFSyntaxPath/<fieldName>
```
Ersetzen Sie es `<fieldName>` durch das ASFF-Feld. Fügen Sie bei der Konfiguration des Zugriffs auf `BatchUpdateFindings` ein oder mehrere spezifische ASFF-Felder in Ihre IAM-Richtlinie ein und nicht ein Feld auf übergeordneter Ebene. Um beispielsweise den Zugriff auf das `Workflow.Status` Feld einzuschränken, müssen Sie es ` securityhub:ASFFSyntaxPath/Workflow.Status` in Ihre Richtlinie aufnehmen und nicht das Feld auf übergeordneter Ebene. `Workflow`

### Alle Aktualisierungen eines Felds verbieten
<a name="batchupdatefindings-configure-access-block-field"></a>

Um zu verhindern, dass ein Benutzer ein bestimmtes Feld aktualisiert, verwenden Sie eine Bedingung wie die folgende:

```
 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}
```

Die folgende Aussage weist beispielsweise darauf hin, dass das `Workflow.Status` Ergebnisfeld nicht aktualisiert werden `BatchUpdateFindings` kann.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}
```

### Bestimmte Feldwerte nicht zulassen
<a name="batchupdatefindings-configure-access-block-field-values"></a>

Um zu verhindern, dass ein Benutzer ein Feld auf einen bestimmten Wert festlegt, verwenden Sie eine Bedingung wie die folgende:

```
"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}
```

Die folgende Anweisung weist beispielsweise darauf hin, dass diese Einstellung nicht verwendet werden `BatchUpdateFindings` kann, um auf `Workflow.Status` zu setzen`SUPPRESSED`.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}
```

Sie können auch eine Liste mit Werten angeben, die nicht zulässig sind.

```
 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}
```

Die folgende Anweisung weist beispielsweise darauf hin, dass dieser Wert nicht verwendet werden `BatchUpdateFindings` kann, um entweder `Workflow.Status` auf `RESOLVED` oder zu setzen`SUPPRESSED`.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}
```

# Überprüfung der Funddetails und des Verlaufs in Security Hub CSPM
<a name="securityhub-findings-viewing"></a>

In AWS Security Hub CSPM ist ein *Befund* eine beobachtbare Aufzeichnung einer Sicherheitsüberprüfung oder einer sicherheitsrelevanten Entdeckung. Security Hub CSPM generiert ein Ergebnis, wenn es eine Sicherheitsüberprüfung einer Kontrolle abschließt und wenn es ein Ergebnis aus einem integrierten Produkt AWS-Service oder einem Drittanbieterprodukt aufnimmt. Jedes Ergebnis enthält eine Historie der Änderungen und weitere Details, wie z. B. eine Bewertung des Schweregrads und Informationen zu den betroffenen Ressourcen.

Sie können den Verlauf und andere Details einzelner Ergebnisse auf der Security Hub CSPM-Konsole oder programmgesteuert mit der Security Hub CSPM-API oder dem überprüfen. AWS CLI

Um Ihnen bei der Optimierung Ihrer Analyse zu helfen, zeigt die Security Hub CSPM-Konsole ein Ergebnisfenster an, wenn Sie ein bestimmtes Ergebnis auswählen. Das Fenster umfasst verschiedene Menüs und Registerkarten zur Überprüfung bestimmter Details eines Ergebnisses.

**Menü „Aktionen“**  
In diesem Menü können Sie die vollständige JSON-Datei eines Befundes überprüfen oder Notizen hinzufügen. Einem Befund kann jeweils nur eine Notiz angehängt werden. Dieses Menü bietet auch Optionen, um [den Workflow-Status eines Ergebnisses festzulegen](findings-workflow-status.md) oder [ein Ergebnis an eine benutzerdefinierte Aktion in Amazon zu senden](findings-custom-action.md) EventBridge.

**Menü „Untersuchen“**  
In diesem Menü können Sie einen Befund in Amazon Detective untersuchen. Detective extrahiert Entitäten wie IP-Adressen und AWS Benutzer aus einem Befund und visualisiert deren Aktivitäten. Sie können die Entitätsaktivität als Ausgangspunkt verwenden, um die Ursache und die Auswirkung eines Ergebnisses zu untersuchen.

Registerkarte **Overview** (Übersicht)  
Diese Registerkarte enthält eine Zusammenfassung eines Ergebnisses. Sie können beispielsweise ermitteln, wann ein Ergebnis erstellt und zuletzt aktualisiert wurde, in welchem Konto es vorhanden ist und aus welcher Quelle das Ergebnis stammt. Bei Kontrollergebnissen werden auf dieser Registerkarte auch der Name der zugehörigen AWS Config Regel und ein Link zu Anleitungen zur Problembehebung in der Security Hub CSPM-Dokumentation angezeigt.  
Im **Ressourcen-Snapshot** auf der Registerkarte **Übersicht** können Sie sich einen kurzen Überblick über die Ressourcen verschaffen, die an einem Befund beteiligt waren. Bei einigen Ressourcen umfasst dies die Option „**Ressource öffnen**“, die direkt zu einer betroffenen Ressource auf der entsprechenden AWS-Service Konsole führt. In der Momentaufnahme des **Verlaufs** werden bis zu zwei Änderungen an dem Ergebnis angezeigt, die an dem letzten Tag vorgenommen wurden, für den der Verlauf aufgezeichnet wird. Wenn Sie beispielsweise gestern eine Änderung und heute eine weitere vorgenommen haben, zeigt der Snapshot die Änderung von heute. Um frühere Einträge zu überprüfen, wechseln Sie zur Registerkarte **Verlauf**.  
Die Zeile **Konformität** wird erweitert, um weitere Details anzuzeigen. Wenn ein Steuerelement beispielsweise Parameter enthält, können Sie die Parameterwerte überprüfen, die Security Hub CSPM derzeit bei der Durchführung von Sicherheitsprüfungen für das Steuerelement verwendet.

**Registerkarte „Ressourcen“**  
Auf dieser Registerkarte finden Sie Einzelheiten zu den Ressourcen, die an einem Befund beteiligt waren. Wenn Sie bei dem Konto angemeldet sind, dem eine Ressource gehört, können Sie die Ressource in der entsprechenden AWS-Service Konsole überprüfen. Wenn Sie nicht der Besitzer einer Ressource sind, wird auf dieser Registerkarte die AWS-Konto ID des Besitzers angezeigt.  
In der Zeile **Details** werden ressourcenspezifische Details zu einem Ergebnis angezeigt. Sie zeigt den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html)Abschnitt des Ergebnisses im JSON-Format.  
In der Zeile „**Tags**“ werden Tag-Schlüssel und -Werte angezeigt, die den Ressourcen zugewiesen sind, die an einem Befund beteiligt sind. Ressourcen, die [vom GetResources Betrieb der AWS -Ressourcengruppen Tagging-API unterstützt](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html) werden, können markiert werden. Security Hub CSPM ruft diesen Vorgang mithilfe einer [dienstbezogenen Rolle bei](using-service-linked-roles.md) der Verarbeitung neuer oder aktualisierter Ergebnisse auf und ruft die Ressourcen-Tags ab, wenn das `Resource.Id` Feld AWS Security Finding Format (ASFF) mit dem ARN einer Ressource gefüllt ist. Security Hub CSPM ignoriert ungültige Ressourcen. IDs Weitere Informationen zur Aufnahme von Ressourcen-Tags in die Ergebnisse finden Sie unter. [Tags (Markierungen)](asff-resources-attributes.md#asff-resources-tags)

**Registerkarte „Verlauf“**  
Auf dieser Registerkarte wird der Verlauf eines Befundes nachverfolgt. Die Fundhistorie ist für aktive und archivierte Ergebnisse verfügbar. Es bietet eine unveränderliche Aufzeichnung der Änderungen, die im Laufe der Zeit an einem Ergebnis vorgenommen wurden, einschließlich der Änderung, welches ASFF-Feld geändert wurde, wann die Änderung vorgenommen wurde und von welchem Benutzer. Auf jeder Seite der Registerkarte werden bis zu 20 Änderungen angezeigt. Neuere Änderungen werden zuerst angezeigt.  
Bei aktiven Ergebnissen ist die Fundhistorie für bis zu 90 Tage verfügbar. Für archivierte Ergebnisse ist die Fundhistorie für bis zu 30 Tage verfügbar. Der Suchverlauf umfasst Änderungen, die manuell oder automatisch durch die [CSPM-Automatisierungsregeln von Security Hub](automation-rules.md) vorgenommen wurden. Änderungen an Zeitstempelfeldern der obersten Ebene, wie z. B. den Feldern und, sind nicht enthalten. `CreatedAt` `UpdatedAt`  
Wenn Sie mit einem Security Hub CSPM-Administratorkonto angemeldet sind, bezieht sich der Suchverlauf auf das Administratorkonto und alle Mitgliedskonten.

**Registerkarte „Bedrohung“**  
Diese Registerkarte enthält Daten von [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html), und [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html)Objekten der ASFF, einschließlich der Art der Bedrohung und ob es sich bei einer Ressource um das Ziel oder den Akteur handelt. Diese Angaben gelten in der Regel für Ergebnisse, die ihren Ursprung in Amazon haben GuardDuty.

**Registerkarte Sicherheitslücken**  
Auf dieser Registerkarte werden Daten aus dem [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html)Objekt des ASFF angezeigt, einschließlich Informationen darüber, ob es im Zusammenhang mit einem Befund Exploits oder verfügbare Fixes gibt. Diese Angaben gelten in der Regel für Ergebnisse, die ihren Ursprung in Amazon Inspector haben.

Die Zeilen auf jeder Registerkarte enthalten eine Kopier- oder Filteroption. Wenn Sie beispielsweise den Bereich für ein Ergebnis öffnen, das den Workflow-Status **Benachrichtigt** hat, können Sie die Filteroption neben der Zeile **Workflow-Status** auswählen. Wenn Sie **Alle Ergebnisse mit diesem Wert anzeigen** wählen, filtert Security Hub CSPM die Ergebnistabelle und zeigt nur Ergebnisse mit demselben Workflow-Status an.

## Details und Verlauf der Ergebnisse überprüfen
<a name="finding-view-details-console"></a>

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Suchdetails in Security Hub CSPM zu überprüfen.

Wenn Sie die regionsübergreifende Aggregation aktivieren und sich bei der Aggregationsregion anmelden, umfasst die Suche nach Daten auch Daten aus der Aggregationsregion und verknüpften Regionen. In anderen Regionen ist das Suchen von Daten nur für diese Region spezifisch. Weitere Informationen zur regionsübergreifenden Aggregation finden Sie unter. [Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM](finding-aggregation.md)

------
#### [ Security Hub CSPM console ]

**Einzelheiten und Verlauf der Ergebnisse überprüfen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Gehen Sie wie folgt vor, um eine Ergebnisliste anzuzeigen:
   + Wählen Sie im Navigationsbereich **Findings** aus. Fügen Sie nach Bedarf Suchfilter hinzu, um die Ergebnisliste einzugrenzen.
   + Wählen Sie im Navigationsbereich ** Insights** aus. Wählen Sie einen Einblick. Wählen Sie dann in der Ergebnisliste ein Insight-Ergebnis aus.
   + Wählen Sie im Navigationsbereich **Integrationen** aus. Wählen **Sie Ergebnisse anzeigen** für eine Integration aus.
   + Wählen Sie im Navigationsbereich **Controls** aus.

1. Wählen Sie ein Ergebnis aus. Im Ergebnisfenster werden die Details des Ergebnisses angezeigt.

1. Führen Sie im Ergebnisfenster einen der folgenden Schritte aus:
   + Wählen Sie eine Registerkarte, um spezifische Details zum Ergebnis zu überprüfen.
   + Um Maßnahmen gegen das Ergebnis zu ergreifen, wählen Sie eine Option aus dem Menü **Aktionen** aus.
   + Um den Befund in Amazon Detective zu **untersuchen, wählen Sie eine Option Untersuchen**.

**Anmerkung**  
Wenn Sie sich mit einem Mitgliedskonto integrieren AWS Organizations und dort angemeldet sind, enthält das Ergebnisfenster den Kontonamen. Für Mitgliedskonten, die manuell statt über Organizations eingeladen werden, enthält das Suchfeld nur die Konto-ID.

------
#### [ Security Hub CSPM API ]

Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)Betrieb der Security Hub CSPM-API, oder wenn Sie die verwenden AWS CLI, führen Sie den Befehl aus. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html) Sie können einen oder mehrere Werte für den `Filters` Parameter angeben, um die abzurufenden Ergebnisse einzugrenzen.

Wenn das Volumen der Ergebnisse zu groß ist, können Sie den `MaxResults` Parameter verwenden, um die Ergebnisse auf eine bestimmte Zahl zu beschränken, und den `NextToken` Parameter, um die Ergebnisse zu paginieren. Verwenden Sie den `SortCriteria` Parameter, um die Ergebnisse nach einem bestimmten Feld zu sortieren.

Mit dem folgenden AWS CLI Befehl werden beispielsweise die Ergebnisse abgerufen, die den angegebenen Filterkriterien entsprechen, und die Ergebnisse werden in absteigender Reihenfolge nach dem `LastObservedAt` Feld sortiert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
```

Verwenden Sie den Vorgang, um den Verlauf der [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html)Ergebnisse zu überprüfen. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html)Befehl aus. Identifizieren Sie das Ergebnis, für das Sie den Verlauf abrufen möchten, mit den `Id` Feldern `ProductArn` und. Informationen zu diesen Feldern finden Sie unter [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html). Jede Anfrage kann den Verlauf für nur einen Befund abrufen.

Mit dem folgenden AWS CLI Befehl wird beispielsweise der Verlauf für das angegebene Ergebnis abgerufen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
```

------
#### [ PowerShell ]

Verwenden Sie das cmdlet `Get-SHUBFinding`. Füllen Sie optional den `Filter` Parameter aus, um die abzurufenden Ergebnisse einzugrenzen.

Das folgende Cmdlet ruft beispielsweise die Ergebnisse ab, die den angegebenen Filtern entsprechen.

```
Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
```

------

**Anmerkung**  
Wenn Sie Ergebnisse nach `CompanyName` oder filtern`ProductName`, verwendet Security Hub CSPM die Werte, die Teil des `ProductFields` ASFF-Objekts sind. Security Hub CSPM verwendet nicht die Felder der obersten Ebene `CompanyName` und. `ProductName`

# Ergebnisse im Security Hub CSPM filtern
<a name="securityhub-findings-manage"></a>

AWS Security Hub CSPM generiert seine eigenen Ergebnisse aus Sicherheitsprüfungen und erhält Ergebnisse aus integrierten Produkten. Sie können eine Liste der Ergebnisse auf den Seiten **Findings**, **Integrations** und **Insights** der Security Hub CSPM-Konsole anzeigen. Sie können Filter hinzufügen, um eine Ergebnisliste einzugrenzen, sodass die Liste für Ihre Organisation oder Ihren Anwendungsfall relevant ist.

Informationen zum Filtern von Ergebnissen für eine bestimmte Sicherheitskontrolle finden Sie unter[Filterung und Sortierung der Kontrollergebnisse](control-finding-list.md). Die Informationen auf dieser Seite gelten für die Seiten **Ergebnisse**, **Einblicke** und **Integrationen**.

## Standardfilter für Suchlisten
<a name="finding-list-default-filters"></a>

Standardmäßig werden Suchlisten auf der Security Hub CSPM-Konsole anhand der `Workflow.Status` Felder `RecordState` und des AWS Security Finding Formats (ASFF) gefiltert. Dies gilt zusätzlich zu den Filtern für einen bestimmten Einblick oder eine bestimmte Integration.

Der Datensatzstatus gibt an, ob ein Ergebnis aktiv oder archiviert ist. Standardmäßig werden in einer Ergebnisliste nur aktive Ergebnisse angezeigt. Ein Anbieter von Ergebnissen kann ein Ergebnis archivieren, wenn es nicht mehr aktiv oder wichtig ist. Security Hub CSPM archiviert Kontrollergebnisse auch automatisch, wenn die zugehörige Ressource gelöscht wird.

Der Workflow-Status gibt den Status einer Untersuchung eines Ergebnisses an. Standardmäßig werden in einer Ergebnisliste nur Ergebnisse mit dem Workflow-Status `NEW` oder `NOTIFIED` angezeigt. Sie können den Workflow-Status eines Ergebnisses aktualisieren.

## Anweisungen zum Hinzufügen von Filtern
<a name="finding-list-filters"></a>

Sie können eine Ergebnisliste nach bis zu zehn Attributen filtern. Für jedes Attribut können Sie bis zu 20 Filterwerte angeben.

Beim Filtern der Ergebnisliste wendet Security Hub CSPM `AND` Logik auf den Filtersatz an. Ein Ergebnis stimmt nur dann überein, wenn es allen bereitgestellten Filtern entspricht. Wenn Sie beispielsweise GuardDuty als Filter für den **Produktnamen** und `AwsS3Bucket` als Filter für den **Ressourcentyp** hinzufügen, zeigt Security Hub CSPM Ergebnisse an, die diesen beiden Kriterien entsprechen.

Security Hub CSPM wendet `OR` Logik auf Filter an, die dasselbe Attribut, aber unterschiedliche Werte verwenden. Wenn Sie beispielsweise GuardDuty sowohl als auch Amazon Inspector als Filterwerte für den **Produktnamen** hinzufügen, zeigt Security Hub CSPM Ergebnisse an, die entweder von Amazon Inspector GuardDuty oder Amazon Inspector generiert wurden.

**Um Filter zu einer Ergebnisliste hinzuzufügen (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Um eine Ergebnisliste anzuzeigen, führen Sie im Navigationsbereich eine der folgenden Aktionen aus:
   + Wählen Sie **Ergebnisse** aus.
   + Wählen Sie **Insights** aus. Wählen Sie einen Einblick. Wählen Sie dann in der Ergebnisliste ein Insight-Ergebnis aus.
   + Wähle Sie **Integrations (Integrationen)** aus. Wählen **Sie Ergebnisse anzeigen** für eine Integration aus.

1. Wählen **Sie im Feld Filter hinzufügen** ein oder mehrere Felder aus, nach denen gefiltert werden soll.

   Wenn Sie nach **Firmenname oder **Produktname**** filtern, verwendet die Konsole die `ProductName` Felder der obersten Ebene `CompanyName` und das AWS Security Finding Format (ASFF). Die API verwendet die Werte, die unter verschachtelt sind. `ProductFields`

1. Wählen Sie den Filterübereinstimmungstyp aus.

   Für einen Zeichenkettenfilter können Sie aus den folgenden Optionen wählen:
   + **ist** — Findet einen Wert, der genau dem Filterwert entspricht.
   + **beginnt mit** — Findet einen Wert, der mit dem Filterwert beginnt.
   + **ist nicht** — Findet einen Wert, der nicht mit dem Filterwert übereinstimmt.
   + **beginnt nicht mit** — Findet einen Wert, der nicht mit dem Filterwert beginnt.

   Für das Feld **Ressourcen-Tags** können Sie nach bestimmten Schlüsseln oder Werten filtern.

   Für einen numerischen Filter können Sie wählen, ob Sie eine einzelne Zahl (**Simple**) oder einen Zahlenbereich (**Range**) angeben möchten.

   Für einen Datums- oder Uhrzeitfilter können Sie wählen, ob Sie eine Zeitspanne vom aktuellen Datum und der aktuellen Uhrzeit (**Rollendes Fenster**) oder einen bestimmten Datumsbereich (**fester Bereich**) angeben möchten.

   Das Hinzufügen mehrerer Filter hat die folgenden Interaktionen:
   + **ist** und **beginnt mit** Filtern werden durch OR verknüpft. Ein Wert stimmt überein, wenn er einen der Filterwerte enthält. Wenn Sie beispielsweise die **Bezeichnung Schweregrad auf KRITISCH und die Bezeichnung** **Schweregrad auf HOCH** angeben, enthalten die Ergebnisse sowohl kritische als auch Ergebnisse mit hohem Schweregrad.
   + **ist nicht** und **beginnt auch nicht mit** Filtern, die durch UND verknüpft werden. Ein Wert stimmt nur überein, wenn er keinen dieser Filterwerte enthält. Wenn Sie beispielsweise angeben, dass die **Bezeichnung Schweregrad nicht NIEDRIG** und die **Bezeichnung Schweregrad nicht MITTEL ist**, enthalten die Ergebnisse keine Ergebnisse mit niedrigem oder mittlerem Schweregrad.

   Wenn Sie einen **Is-Filter** für ein Feld verwenden, können Sie nicht den Filter **Ist nicht** oder A **fängt nicht mit** an für dasselbe Feld verwenden.

1. Geben Sie den Filterwert an. Bei Zeichenkettenfiltern unterscheidet der Filterwert zwischen Groß- und Kleinschreibung.

1. Wählen Sie **Anwenden** aus.

   Für einen vorhandenen Filter können Sie den Übereinstimmungstyp oder den Wert des Filters ändern. Wählen Sie in einer gefilterten Ergebnisliste den Filter aus. Wählen **Sie im Feld Filter bearbeiten** den neuen Treffertyp oder Wert aus, und klicken Sie dann **auf Anwenden**.

   Um einen Filter zu entfernen, wählen Sie das **X-Symbol**. Die Liste wird automatisch aktualisiert, um die Änderung widerzuspiegeln.

# Gruppierung der Ergebnisse in Security Hub CSPM
<a name="finding-list-grouping"></a>

Sie können Ergebnisse in AWS Security Hub CSPM auf der Grundlage der Werte eines ausgewählten Attributs gruppieren.

Wenn Sie die Ergebnisse gruppieren, wird die Ergebnisliste durch eine Werteliste für das ausgewählte Attribut in den entsprechenden Ergebnissen ersetzt. Für jeden Wert wird in der Liste die Anzahl der übereinstimmenden Ergebnisse angezeigt.

Wenn Sie die Ergebnisse beispielsweise nach AWS-Konto ID gruppieren, wird eine Liste von Konto-IDs mit der Anzahl der übereinstimmenden Ergebnisse für jedes Konto angezeigt.

Security Hub CSPM kann bis zu 100 Werte für ein ausgewähltes Attribut anzeigen. Wenn es mehr als 100 Werte gibt, werden nur die ersten 100 angezeigt.

Wenn Sie einen Attributwert auswählen, zeigt Security Hub CSPM die Liste der passenden Ergebnisse für diesen Wert an.

**Um die Ergebnisse in einer Ergebnisliste zu gruppieren (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Um eine Ergebnisliste anzuzeigen, führen Sie im Navigationsbereich eine der folgenden Aktionen aus:
   + Wählen Sie **Ergebnisse** aus.
   + Wählen Sie **Insights** aus. Wählen Sie einen Einblick. Wählen Sie dann in der Ergebnisliste ein Insight-Ergebnis aus.
   + Wähle Sie **Integrations (Integrationen)** aus. Wählen **Sie Ergebnisse anzeigen** für eine Integration aus.

1. Wählen Sie in der Dropdownliste **Gruppieren nach** das Attribut aus, das für die Gruppierung verwendet werden soll.

   Um ein Gruppierungsattribut zu entfernen, wählen Sie das **X-Symbol**. Wenn Sie das Gruppierungsattribut entfernen, ändert sich die Liste von der Liste der Attributwerte in eine Ergebnisliste.

# Den Workflow-Status von Ergebnissen in Security Hub CSPM festlegen
<a name="findings-workflow-status"></a>

Der Workflow-Status verfolgt den Fortschritt Ihrer Untersuchung zu einem Ergebnis. Der Workflow-Status ist spezifisch für ein einzelnes Ergebnis und hat keinen Einfluss auf die Generierung neuer Ergebnisse. Wenn Sie beispielsweise den Workflow-Status eines Ergebnisses auf `SUPPRESSED` oder ändern`RESOLVED`, verhindert Ihre Änderung nicht, dass Security Hub CSPM ein neues Ergebnis für dasselbe Problem generiert.

Der Workflow-Status eines Befundes kann einer der folgenden Werte sein.

**NEU**  
Der Ausgangszustand eines Ergebnisses, bevor Sie es überprüfen.  
Ergebnisse, die aus integrierten Quellen aufgenommen wurden AWS-Services AWS Config, haben z. `NEW` B. ihren ursprünglichen Status.  
Security Hub CSPM setzt in den folgenden Fällen auch den Workflow-Status von entweder `NOTIFIED` oder `RESOLVED` `NEW` auf zurück:  
+ `RecordState` ändert sich von `ARCHIVED` in `ACTIVE`.
+ `Compliance.Status`ändert sich von `PASSED` zu`FAILED`, `WARNING` oder. `NOT_AVAILABLE`
Diese Änderungen bedeuten, dass zusätzliche Untersuchungen erforderlich sind.

**BENACHRICHTIGT**  
Gibt an, dass Sie den Ressourceneigentümer über das Sicherheitsproblem informiert haben. Sie können diesen Status verwenden, wenn Sie nicht der Ressourceneigentümer sind und einen Eingriff von diesem benötigen, um ein Sicherheitsproblem zu beheben.  
Wenn einer der folgenden Fälle eintritt, wird der Workflow-Status automatisch von `NOTIFIED` zu geändert`NEW`:  
+ `RecordState` ändert sich von `ARCHIVED` in `ACTIVE`.
+ `Compliance.Status`ändert sich von `PASSED` zu `FAILED``WARNING`, oder`NOT_AVAILABLE`.

**UNTERDRÜCKT**  
Zeigt an, dass Sie das Ergebnis überprüft haben und nicht der Meinung sind, dass weitere Maßnahmen erforderlich sind.  
Der Workflow-Status eines `SUPPRESSED` Ergebnisses `RecordState` ändert sich nicht, wenn er von `ARCHIVED` zu geändert wird`ACTIVE`.

**GELÖST**  
Das Ergebnis wurde überprüft und korrigiert und gilt nun als gelöst.  
Das Ergebnis bleibt bestehen`RESOLVED`, sofern nicht einer der folgenden Fälle eintritt:  
+ `RecordState` ändert sich von `ARCHIVED` in `ACTIVE`.
+ `Compliance.Status`ändert sich von `PASSED` zu `FAILED``WARNING`, oder`NOT_AVAILABLE`.
In diesen Fällen wird der Workflow-Status automatisch auf zurückgesetzt`NEW`.  
Falls dies der Fall `Compliance.Status` ist`PASSED`, setzt Security Hub CSPM den Workflow-Status automatisch auf. `RESOLVED`

## Den Workflow-Status von Ergebnissen festlegen
<a name="setting-workflow-status"></a>

Um den Workflow-Status eines oder mehrerer Ergebnisse zu ändern, können Sie die Security Hub CSPM-Konsole oder die Security Hub CSPM-API verwenden. Wenn Sie den Workflow-Status eines Befundes ändern, beachten Sie, dass es mehrere Minuten dauern kann, bis Security Hub CSPM Ihre Anfrage bearbeitet und das Ergebnis aktualisiert hat.

**Tipp**  
Sie können den Workflow-Status von Ergebnissen auch automatisch ändern, indem Sie Automatisierungsregeln verwenden. Mit Automatisierungsregeln konfigurieren Sie Security Hub CSPM so, dass der Workflow-Status von Ergebnissen auf der Grundlage der von Ihnen angegebenen Kriterien automatisch aktualisiert wird. Weitere Informationen finden Sie unter [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md).

Um den Workflow-Status eines oder mehrerer Ergebnisse zu ändern, wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten.

------
#### [ Security Hub CSPM console ]

**Um den Workflow-Status von Ergebnissen zu ändern**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Führen Sie im Navigationsbereich einen der folgenden Schritte aus, um eine Tabelle mit Ergebnissen anzuzeigen:
   + Wählen Sie **Ergebnisse** aus.
   + Wählen Sie **Insights** aus. Wählen Sie dann einen Einblick aus. Wählen Sie in den Insight-Ergebnissen ein Ergebnis aus.
   + Wähle Sie **Integrations (Integrationen)** aus. Wählen Sie dann im Abschnitt für die Integration die Option **Ergebnisse anzeigen** aus.
   + Wählen Sie **Sicherheitsstandards** aus. Wählen Sie dann im Abschnitt für den Standard die Option **Ergebnisse anzeigen** aus. Wählen Sie in der Kontrolltabelle ein Steuerelement aus, um die Ergebnisse für das Steuerelement anzuzeigen.

1. Aktivieren Sie in der Tabelle mit den Ergebnissen das Kontrollkästchen für jedes Ergebnis, dessen Workflow-Status Sie ändern möchten.

1. Wählen Sie oben auf der Seite **Workflow-Status** und dann den neuen Workflow-Status für die ausgewählten Ergebnisse aus.

1. Geben **Sie im Dialogfeld Workflow-Status festlegen** optional eine Notiz ein, in der der Grund für die Änderung des Workflow-Status detailliert beschrieben wird. Wählen Sie dann **Status festlegen** aus.

------
#### [ Security Hub CSPM API ]

Verwenden Sie die [BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)Operation. Geben Sie sowohl die Ergebnis-ID als auch den ARN des Produkts an, das den Befund generiert hat. Sie können diese Details mithilfe der [GetFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)Operation abrufen.

------
#### [ AWS CLI ]

Führen Sie den Befehl [batch-update-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-findings.html) aus. Geben Sie sowohl die Ergebnis-ID als auch den ARN des Produkts an, das den Befund generiert hat. Sie können diese Details abrufen, indem Sie den Befehl [get-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html) ausführen.

```
batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"
```

**Beispiel**

```
aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"
```

------

# Ergebnisse an eine benutzerdefinierte Security Hub CSPM-Aktion senden
<a name="findings-custom-action"></a>

Sie können benutzerdefinierte AWS Security Hub CSPM-Aktionen erstellen, um Security Hub CSPM mit Amazon zu automatisieren. EventBridge Für benutzerdefinierte Aktionen lautet der Ereignistyp **Security Hub Findings - Custom Action**. Nachdem Sie eine benutzerdefinierte Aktion eingerichtet haben, können Sie Ergebnisse an sie senden. Weitere Informationen und detaillierte Schritte zum Erstellen benutzerdefinierter Aktionen finden Sie unter [Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen](securityhub-cloudwatch-events.md).

**Um Ergebnisse an eine benutzerdefinierte Aktion (Konsole) zu senden**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Gehen Sie wie folgt vor, um eine Ergebnisliste anzuzeigen:
   + **Wählen Sie im Security Hub CSPM-Navigationsbereich Findings aus.**
   + **Wählen Sie im Security Hub CSPM-Navigationsbereich Insights aus.** Wählen Sie einen Einblick. Wählen Sie dann in der Ergebnisliste ein Insight-Ergebnis aus.
   + **Wählen Sie im Security Hub CSPM-Navigationsbereich Integrationen aus.** Wählen **Sie Ergebnisse** für eine Integration anzeigen aus.
   + Wählen Sie im Security Hub CSPM-Navigationsbereich die Option **Sicherheitsstandards** aus. Wählen Sie **Ergebnisse anzeigen**, um eine Liste mit Kontrollen anzuzeigen. Wählen Sie dann den Namen des Steuerelements.

1. Aktivieren Sie in der Ergebnisliste das Kontrollkästchen für jedes Ergebnis, das an die benutzerdefinierte Aktion gesendet werden soll.

   Sie können bis zu 20 Ergebnisse gleichzeitig senden.

1. Wählen Sie für **Aktionen** die benutzerdefinierte Aktion aus.

# AWS Format für Sicherheitssuche (ASFF)
<a name="securityhub-findings-format"></a>

AWS Security Hub CSPM nutzt und aggregiert Erkenntnisse aus integrierten AWS-Services Produkten und Produkten von Drittanbietern. Security Hub CSPM verarbeitet diese Ergebnisse mithilfe eines Standardformats für Ergebnisse, dem *AWS Security Finding Format (ASFF)*, das zeitaufwändige Datenkonvertierungen überflüssig macht.

Diese Seite bietet einen vollständigen Überblick über die JSON-Daten für ein Ergebnis im AWS Security Finding Format (ASFF). Das Format leitet sich vom [JSON-Schema](https://json-schema.org/) ab. Wählen Sie den Namen eines verknüpften Objekts, um ein Beispiel für ein Ergebnis für dieses Objekt zu überprüfen. Der Vergleich Ihrer Security Hub CSPM-Ergebnisse mit den hier aufgeführten Ressourcen und Beispielen kann Ihnen bei der Interpretation Ihrer Ergebnisse helfen.

Beschreibungen der einzelnen ASFF-Attribute finden Sie unter und. [Erforderliche ASFF-Attribute der obersten Ebene](asff-required-attributes.md) [Optionale ASFF-Attribute der obersten Ebene](asff-top-level-attributes.md)

```
"Findings": [ 
    {
    	"Action": {
    		"ActionType": "string",
    		"AwsApiCallAction": {
    			"AffectedResources": {
    				"string": "string"
    			},
    			"Api": "string",
    			"CallerType": "string",
    			"DomainDetails": {
    				"Domain": "string"
    			},
    			"FirstSeen": "string",
    			"LastSeen": "string",
    			"RemoteIpDetails": {
    				"City": {
    					"CityName": "string"
    				},
    				"Country": {
    					"CountryCode": "string",
    					"CountryName": "string"
    				},
    				"IpAddressV4": "string",
    				"Geolocation": {
    					"Lat": number,
    					"Lon": number
    				},
    				"Organization": {
    					"Asn": number,
    					"AsnOrg": "string",
    					"Isp": "string",
    					"Org": "string"
    				}
    			},
    			"ServiceName": "string"
    		},
    		"DnsRequestAction": {
    			"Blocked": boolean,
    			"Domain": "string",
    			"Protocol": "string"
    		},
    		"NetworkConnectionAction": {
    			"Blocked": boolean,
    			"ConnectionDirection": "string",
    			"LocalPortDetails": {
    				"Port": number,
    				"PortName": "string"
    			},
    			"Protocol": "string",
    			"RemoteIpDetails": {
    				"City": {
    					"CityName": "string"
    				},
    				"Country": {
    					"CountryCode": "string",
    					"CountryName": "string"
    				},
    				"IpAddressV4": "string",
    				"Geolocation": {
    					"Lat": number,
    					"Lon": number
    				},
    				"Organization": {
    					"Asn": number,
    					"AsnOrg": "string",
    					"Isp": "string",
    					"Org": "string"
    				}
    			},
    			"RemotePortDetails": {
    				"Port": number,
    				"PortName": "string"
    			}
    		},
    		"PortProbeAction": {
    			"Blocked": boolean,
    			"PortProbeDetails": [{
    				"LocalIpDetails": {
    					"IpAddressV4": "string"
    				},
    				"LocalPortDetails": {
    					"Port": number,
    					"PortName": "string"
    				},
    				"RemoteIpDetails": {
    					"City": {
    						"CityName": "string"
    					},
    					"Country": {
    						"CountryCode": "string",
    						"CountryName": "string"
    					},
    					"GeoLocation": {
    						"Lat": number,
    						"Lon": number
    					},
    					"IpAddressV4": "string",
    					"Organization": {
    						"Asn": number,
    						"AsnOrg": "string",
    						"Isp": "string",
    						"Org": "string"
    					}
    				}
    			}]
    		}
    	},
    	"AwsAccountId": "string",
    	"AwsAccountName": "string",
    	"CompanyName": "string",
    	"Compliance": {
    		"AssociatedStandards": [{
    			"StandardsId": "string"
    		}],
    		"RelatedRequirements": ["string"],
    		"SecurityControlId": "string",
    		"SecurityControlParameters": [
    			{
    				"Name": "string",
    				"Value": ["string"]
    			}
   		],
    		"Status": "string",
    		"StatusReasons": [
    			{
    				"Description": "string",
    				"ReasonCode": "string"
    			}
    		]
    	},
    	"Confidence": number,
    	"CreatedAt": "string",
    	"Criticality": number,
    	"Description": "string",
    	"Detection": {
    		"Sequence": {
    			"Uid": "string",
    			"Actors": [{
    				"Id": "string",
    				"Session": {
    					"Uid": "string",
    					"MfAStatus": "string",
    					"CreatedTime": "string",
    					"Issuer": "string"
    				},
    				"User": {
    					"CredentialUid": "string",
    					"Name": "string",
    					"Type": "string",
    					"Uid": "string",
    					"Account": {
    						"Uid": "string",
    						"Name": "string"
    					}
    				}
    			}],
    			"Endpoints": [{
    				"Id": "string",
    				"Ip": "string",
    				"Domain": "string",
    				"Port": number,
    				"Location": {
    					"City": "string",
    					"Country": "string",
    					"Lat": number,
    					"Lon": number
    				},
    				"AutonomousSystem": {
    					"Name": "string",
    					"Number": number
    				},
    				"Connection": {
    					"Direction": "string"
    				}
    			}],
    			"Signals": [{
    				"Id": "string",
    				"Title": "string",
    				"ActorIds": ["string"],
    				"Count": number,
    				"FirstSeenAt": number,
    				"SignalIndicators": [
    					{
    						"Key": "string",
    						"Title": "string",
    						"Values": ["string"]
    					},
    					{
    						"Key": "string",
    						"Title": "string",
    						"Values": ["string"]
    					}
    				],
    				"LastSeenAt": number,
    				"Name": "string",
    				"ResourceIds": ["string"],
    				"Type": "string"
    			}],
    			"SequenceIndicators": [
    				{
    					"Key": "string",
    					"Title": "string",
    					"Values": ["string"]
    				},
    				{
    					"Key": "string",
    					"Title": "string",
    					"Values": ["string"]
    				}
    			]
    		}
    	},
    	"FindingProviderFields": {
    		"Confidence": number,
    		"Criticality": number,
    		"RelatedFindings": [{
    			"ProductArn": "string",
    			"Id": "string"
    		}],
    		"Severity": {
    			"Label": "string",
    			"Normalized": number,
    			"Original": "string"
    		},
    		"Types": ["string"]
    	},
    	"FirstObservedAt": "string",
    	"GeneratorId": "string",
    	"Id": "string",
    	"LastObservedAt": "string",
    	"Malware": [{
    		"Name": "string",
    		"Path": "string",
    		"State": "string",
    		"Type": "string"
    	}],
    	"Network": {
    		"DestinationDomain": "string",
    		"DestinationIpV4": "string",
    		"DestinationIpV6": "string",
    		"DestinationPort": number,
    		"Direction": "string",
    		"OpenPortRange": {
    			"Begin": integer,
    			"End": integer
    		},
    		"Protocol": "string",
    		"SourceDomain": "string",
    		"SourceIpV4": "string",
    		"SourceIpV6": "string",
    		"SourceMac": "string",
    		"SourcePort": number
    	},
    	"NetworkPath": [{
    		"ComponentId": "string",
    		"ComponentType": "string",
    		"Egress": {
    			"Destination": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			},
    			"Protocol": "string",
    			"Source": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			}
    		},
    		"Ingress": {
    			"Destination": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			},
    			"Protocol": "string",
    			"Source": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			}
    		}
    	}],
    	"Note": {
    		"Text": "string",
    		"UpdatedAt": "string",
    		"UpdatedBy": "string"
    	},
    	"PatchSummary": {
    		"FailedCount": number,
    		"Id": "string",
    		"InstalledCount": number,
    		"InstalledOtherCount": number,
    		"InstalledPendingReboot": number,
    		"InstalledRejectedCount": number,
    		"MissingCount": number,
    		"Operation": "string",
    		"OperationEndTime": "string",
    		"OperationStartTime": "string",
    		"RebootOption": "string"
    	},
    	"Process": {
    		"LaunchedAt": "string",
    		"Name": "string",
    		"ParentPid": number,
    		"Path": "string",
    		"Pid": number,
    		"TerminatedAt": "string"
    	},
    	"ProductArn": "string",
    	"ProductFields": {
    		"string": "string"
    	},
    	"ProductName": "string",
    	"RecordState": "string",
    	"Region": "string",
    	"RelatedFindings": [{
    		"Id": "string",
    		"ProductArn": "string"
    	}],
    	"Remediation": {
    		"Recommendation": {
    			"Text": "string",
    			"Url": "string"
    		}
    	},
    	"Resources": [{
    		"ApplicationArn": "string",
    		"ApplicationName": "string",
    		"DataClassification": {
    			"DetailedResultsLocation": "string",
    			"Result": {
    				"AdditionalOccurrences": boolean,
    				"CustomDataIdentifiers": {
    					"Detections": [{
    						"Arn": "string",
    						"Count": integer,
    						"Name": "string",
    						"Occurrences": {
    							"Cells": [{
    								"CellReference": "string",
    								"Column": integer,
    								"ColumnName": "string",
    								"Row": integer
    							}],
    							"LineRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"OffsetRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"Pages": [{
    								"LineRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"OffsetRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"PageNumber": integer
    							}],
    							"Records": [{
    								"JsonPath": "string",
    								"RecordIndex": integer
    							}]
    						}
    					}],
    					"TotalCount": integer
    				},
    				"MimeType": "string",
    				"SensitiveData": [{
    					"Category": "string",
    					"Detections": [{
    						"Count": integer,
    						"Occurrences": {
    							"Cells": [{
    								"CellReference": "string",
    								"Column": integer,
    								"ColumnName": "string",
    								"Row": integer
    							}],
    							"LineRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"OffsetRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"Pages": [{
    								"LineRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"OffsetRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"PageNumber": integer
    							}],
    							"Records": [{
    								"JsonPath": "string",
    								"RecordIndex": integer
    							}]
    						},
    						"Type": "string"
    					}],
    					"TotalCount": integer
    				}],
    				"SizeClassified": integer,
    				"Status": {
    					"Code": "string",
    					"Reason": "string"
    				}
    			}
    		},
    		"Details": {
    			"AwsAmazonMQBroker": {
    				"AutoMinorVersionUpgrade": boolean,
    				"BrokerArn": "string",
    				"BrokerId": "string",
    				"BrokerName": "string",
    				"Configuration": {
    					"Id": "string",
    					"Revision": integer
    				},
    				"DeploymentMode": "string",
    				"EncryptionOptions": {
    					"UseAwsOwnedKey": boolean
    				},
    				"EngineType": "string",
    				"EngineVersion": "string",
    				"HostInstanceType": "string",
    				"Logs": {
    					"Audit": boolean,
    					"AuditLogGroup": "string",
    					"General": boolean,
    					"GeneralLogGroup": "string"
    				},
    				"MaintenanceWindowStartTime": {
    					"DayOfWeek": "string",
    					"TimeOfDay": "string",
    					"TimeZone": "string"
    				},
    				"PubliclyAccessible": boolean,
    				"SecurityGroups": [
    					"string"
    				],
    				"StorageType": "string",
    				"SubnetIds": [
    					"string",
    					"string"
    				],
    				"Users": [{
    					"Username": "string"
    				}]
    			},
    			"AwsApiGatewayRestApi": {
    				"ApiKeySource": "string",
    				"BinaryMediaTypes": [" string"],
    				"CreatedDate": "string",
    				"Description": "string",
    				"EndpointConfiguration": {
    					"Types": ["string"]
    				},
    				"Id": "string",
    				"MinimumCompressionSize": number,
    				"Name": "string",
    				"Version": "string"
    			},
    			"AwsApiGatewayStage": {
    				"AccessLogSettings": {
    					"DestinationArn": "string",
    					"Format": "string"
    				},
    				"CacheClusterEnabled": boolean,
    				"CacheClusterSize": "string",
    				"CacheClusterStatus": "string",
    				"CanarySettings": {
    					"DeploymentId": "string",
    					"PercentTraffic": number,
    					"StageVariableOverrides": [{
    						"string": "string"
    					}],
    					"UseStageCache": boolean
    				},
    				"ClientCertificateId": "string",
    				"CreatedDate": "string",
    				"DeploymentId": "string",
    				"Description": "string",
    				"DocumentationVersion": "string",
    				"LastUpdatedDate": "string",
    				"MethodSettings": [{
    					"CacheDataEncrypted": boolean,
    					"CachingEnabled": boolean,
    					"CacheTtlInSeconds": number,
    					"DataTraceEnabled": boolean,
    					"HttpMethod": "string",
    					"LoggingLevel": "string",
    					"MetricsEnabled": boolean,
    					"RequireAuthorizationForCacheControl": boolean,
    					"ResourcePath": "string",
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number,
    					"UnauthorizedCacheControlHeaderStrategy": "string"
    				}],
    				"StageName": "string",
    				"TracingEnabled": boolean,
    				"Variables": {
    					"string": "string"
    				},
    				"WebAclArn": "string"
    			},
    			"AwsApiGatewayV2Api": {
    				"ApiEndpoint": "string",
    				"ApiId": "string",
    				"ApiKeySelectionExpression": "string",
    				"CorsConfiguration": {
    					"AllowCredentials": boolean,
    					"AllowHeaders": ["string"],
    					"AllowMethods": ["string"],
    					"AllowOrigins": ["string"],
    					"ExposeHeaders": ["string"],
    					"MaxAge": number
    				},
    				"CreatedDate": "string",
    				"Description": "string",
    				"Name": "string",
    				"ProtocolType": "string",
    				"RouteSelectionExpression": "string",
    				"Version": "string"
    			},
    			"AwsApiGatewayV2Stage": {
    				"AccessLogSettings": {
    					"DestinationArn": "string",
    					"Format": "string"
    				},
    				"ApiGatewayManaged": boolean,
    				"AutoDeploy": boolean,
    				"ClientCertificateId": "string",
    				"CreatedDate": "string",
    				"DefaultRouteSettings": {
    					"DataTraceEnabled": boolean,
    					"DetailedMetricsEnabled": boolean,
    					"LoggingLevel": "string",
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number
    				},
    				"DeploymentId": "string",
    				"Description": "string",
    				"LastDeploymentStatusMessage": "string",
    				"LastUpdatedDate": "string",
    				"RouteSettings": {
    					"DetailedMetricsEnabled": boolean,
    					"LoggingLevel": "string",
    					"DataTraceEnabled": boolean,
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number
    				},
    				"StageName": "string",
    				"StageVariables": [{
    					"string": "string"
    				}]
    			},
    			"AwsAppSyncGraphQLApi": {
    				"AwsAppSyncGraphQlApi": {
    					"AdditionalAuthenticationProviders": [
    					{
    						"AuthenticationType": "string",
    						"LambdaAuthorizerConfig": {
    							"AuthorizerResultTtlInSeconds": integer,
    							"AuthorizerUri": "string"
    						}
    					},
    					{
    						"AuthenticationType": "string"
    					}
    					],
    					"ApiId": "string",
    					"Arn": "string",
    					"AuthenticationType": "string",
    					"Id": "string",
    					"LogConfig": {
    						"CloudWatchLogsRoleArn": "string",
    						"ExcludeVerboseContent": boolean,
    						"FieldLogLevel": "string"
    					},
    					"Name": "string",
    					"XrayEnabled": boolean
    				}
    			},
    			"AwsAthenaWorkGroup": {
    				"Description": "string",
    				"Name": "string",
    				"WorkgroupConfiguration": {
    					"ResultConfiguration": {
    						"EncryptionConfiguration": {
    							"EncryptionOption": "string",
    							"KmsKey": "string"
    						}
    					}
    				},
    				"State": "string"
    			},
    			"AwsAutoScalingAutoScalingGroup": {
    				"AvailabilityZones": [{
    					"Value": "string"
    				}],
    				"CreatedTime": "string",
    				"HealthCheckGracePeriod": integer,
    				"HealthCheckType": "string",
    				"LaunchConfigurationName": "string",
    				"LoadBalancerNames": ["string"],
    				"LaunchTemplate": {                            
                        "LaunchTemplateId": "string",
                        "LaunchTemplateName": "string",
                        "Version": "string"
                    },
    				"MixedInstancesPolicy": {
    					"InstancesDistribution": {
    						"OnDemandAllocationStrategy": "string",
    						"OnDemandBaseCapacity": number,
    						"OnDemandPercentageAboveBaseCapacity": number,
    						"SpotAllocationStrategy": "string",
    						"SpotInstancePools": number,
    						"SpotMaxPrice": "string"
    					},
    					"LaunchTemplate": {
    						"LaunchTemplateSpecification": {
    							"LaunchTemplateId": "string",
    							"LaunchTemplateName": "string",
    							"Version": "string"
    						},
    						"CapacityRebalance": boolean,
    						"Overrides": [{
    							"InstanceType": "string",
    							"WeightedCapacity": "string"
    						}]
    					}
    				}
    			},
    			"AwsAutoScalingLaunchConfiguration": {
    				"AssociatePublicIpAddress": boolean,
    				"BlockDeviceMappings": [{
    					"DeviceName": "string",
    					"Ebs": {
    						"DeleteOnTermination": boolean,
    						"Encrypted": boolean,
    						"Iops": number,
    						"SnapshotId": "string",
    						"VolumeSize": number,
    						"VolumeType": "string"
    					},
    					"NoDevice": boolean,
    					"VirtualName": "string"
    				}],
    				"ClassicLinkVpcId": "string",
    				"ClassicLinkVpcSecurityGroups": ["string"],
    				"CreatedTime": "string",
    				"EbsOptimized": boolean,
    				"IamInstanceProfile": "string"
    			},
    			"ImageId": "string",
    			"InstanceMonitoring": {
    				"Enabled": boolean
    			},
    			"InstanceType": "string",
    			"KernelId": "string",
    			"KeyName": "string",
    			"LaunchConfigurationName": "string",
    			"MetadataOptions": {
    				"HttpEndPoint": "string",
    				"HttpPutReponseHopLimit": number,
    				"HttpTokens": "string"
    			},
    			"PlacementTenancy": "string",
    			"RamdiskId": "string",
    			"SecurityGroups": ["string"],
    			"SpotPrice": "string",
    			"UserData": "string"
    		},
    		"AwsBackupBackupPlan": {
    			"BackupPlan": {
    				"AdvancedBackupSettings": [{
    					"BackupOptions": {
    						"WindowsVSS":"string"
    					},
    					"ResourceType":"string"
    				}],
    				"BackupPlanName": "string",
    				"BackupPlanRule": [{
    					"CompletionWindowMinutes": integer,
    					"CopyActions": [{
    						"DestinationBackupVaultArn": "string",
    						"Lifecycle": {
    							"DeleteAfterDays": integer,
    							"MoveToColdStorageAfterDays": integer
    						}
    					}],
    					"Lifecycle": {
    						"DeleteAfterDays": integer
    					},
    					"RuleName": "string",
    					"ScheduleExpression": "string",
    					"StartWindowMinutes": integer,
    					"TargetBackupVault": "string"
    				}]
    			},
    			"BackupPlanArn": "string",
    			"BackupPlanId": "string",
    			"VersionId": "string"
    	},
    		"AwsBackupBackupVault": {
    			"AccessPolicy": {
    				"Statement": [{
    					"Action": ["string"],
    					"Effect": "string",
    					"Principal": {
    						"AWS": "string"
    					},
    					"Resource": "string"
    				}],
    				"Version": "string"
    			},
    			"BackupVaultArn": "string",
    			"BackupVaultName": "string",
    			"EncryptionKeyArn": "string",
    			"Notifications": {
    				"BackupVaultEvents": ["string"],
    				"SNSTopicArn": "string"
    			}
    		},
    		"AwsBackupRecoveryPoint": {
    			"BackupSizeInBytes": integer,
    			"BackupVaultName": "string",
    			"BackupVaultArn": "string",
    			"CalculatedLifecycle": {
    				"DeleteAt": "string",
    				"MoveToColdStorageAt": "string"
    			},
    			"CompletionDate": "string",
    			"CreatedBy": {
    				"BackupPlanArn": "string",
    				"BackupPlanId": "string",
    				"BackupPlanVersion": "string",
    				"BackupRuleId": "string"
    			},
    			"CreationDate": "string",
    			"EncryptionKeyArn": "string",
    			"IamRoleArn": "string",
    			"IsEncrypted": boolean,
    			"LastRestoreTime": "string",
    			"Lifecycle": {
    				"DeleteAfterDays": integer,
    				"MoveToColdStorageAfterDays": integer
    			},
    			"RecoveryPointArn": "string",
    			"ResourceArn": "string",
    			"ResourceType": "string",
    			"SourceBackupVaultArn": "string",
    			"Status": "string",
    			"StatusMessage": "string",
    			"StorageClass": "string"
    		},
    		"AwsCertificateManagerCertificate": {
    			"CertificateAuthorityArn": "string",
    			"CreatedAt": "string",
    			"DomainName": "string",
    			"DomainValidationOptions": [{
    				"DomainName": "string",
    				"ResourceRecord": {
    					"Name": "string",
    					"Type": "string",
    					"Value": "string"
    				},
    				"ValidationDomain": "string",
    				"ValidationEmails": ["string"],
    				"ValidationMethod": "string",
    				"ValidationStatus": "string"
    			}],
    			"ExtendedKeyUsages": [{
    				"Name": "string",
    				"OId": "string"
    			}],
    			"FailureReason": "string",
    			"ImportedAt": "string",
    			"InUseBy": ["string"],
    			"IssuedAt": "string",
    			"Issuer": "string",
    			"KeyAlgorithm": "string",
    			"KeyUsages": [{
    				"Name": "string"
    			}],
    			"NotAfter": "string",
    			"NotBefore": "string",
    			"Options": {
    				"CertificateTransparencyLoggingPreference": "string"
    			},
    			"RenewalEligibility": "string",
    			"RenewalSummary": {
    				"DomainValidationOptions": [{
    					"DomainName": "string",
    					"ResourceRecord": {
    						"Name": "string",
    						"Type": "string",
    						"Value": "string"
    					},
    					"ValidationDomain": "string",
    					"ValidationEmails": ["string"],
    					"ValidationMethod": "string",
    					"ValidationStatus": "string"
    				}],
    				"RenewalStatus": "string",
    				"RenewalStatusReason": "string",
    				"UpdatedAt": "string"
    			},
    			"Serial": "string",
    			"SignatureAlgorithm": "string",
    			"Status": "string",
    			"Subject": "string",
    			"SubjectAlternativeNames": ["string"],
    			"Type": "string"
    		},
    		"AwsCloudFormationStack": {
    			"Capabilities": ["string"],
    			"CreationTime": "string",
    			"Description": "string",
    			"DisableRollback": boolean,
    			"DriftInformation": {
    				"StackDriftStatus": "string"
    			},
    			"EnableTerminationProtection": boolean,
    			"LastUpdatedTime": "string",
    			"NotificationArns": ["string"],
    			"Outputs": [{
    				"Description": "string",
    				"OutputKey": "string",
    				"OutputValue": "string"
    			}],
    			"RoleArn": "string",
    			"StackId": "string",
    			"StackName": "string",
    			"StackStatus": "string",
    			"StackStatusReason": "string",
    			"TimeoutInMinutes": number 
    		},
    		"AwsCloudFrontDistribution": {
    			"CacheBehaviors": {
    				"Items": [{
    					"ViewerProtocolPolicy": "string"
    				}]
    			},
    			"DefaultCacheBehavior": {
    				"ViewerProtocolPolicy": "string"
    			},
    			"DefaultRootObject": "string",
    			"DomainName": "string",
    			"Etag": "string",
    			"LastModifiedTime": "string",
    			"Logging": {
    				"Bucket": "string",
    				"Enabled": boolean,
    				"IncludeCookies": boolean,
    				"Prefix": "string"
    			},
    			"OriginGroups": {
    				"Items": [{
    					"FailoverCriteria": {
    						"StatusCodes": {
    							"Items": [number],
    							"Quantity": number
    						}
    					}
    				}]
    			},
    			"Origins": {
    				"Items": [{
    					"CustomOriginConfig": {
    						"HttpPort": number,
    						"HttpsPort": number,
    						"OriginKeepaliveTimeout": number,
    						"OriginProtocolPolicy": "string",
    						"OriginReadTimeout": number,
    						"OriginSslProtocols": {
    							"Items": ["string"],
    							"Quantity": number
    						} 
    					},		
    					"DomainName": "string",
    					"Id": "string",
    					"OriginPath": "string",
    					"S3OriginConfig": {
    						"OriginAccessIdentity": "string"
    					}
    				}]
    			},
    			"Status": "string",
    			"ViewerCertificate": {
    				"AcmCertificateArn": "string",
    				"Certificate": "string",
    				"CertificateSource": "string",
    				"CloudFrontDefaultCertificate": boolean,
    				"IamCertificateId": "string",
    				"MinimumProtocolVersion": "string",
    				"SslSupportMethod": "string"
    			},
    			"WebAclId": "string"
    		},
    		"AwsCloudTrailTrail": {
    			"CloudWatchLogsLogGroupArn": "string",
    			"CloudWatchLogsRoleArn": "string",
    			"HasCustomEventSelectors": boolean,
    			"HomeRegion": "string",
    			"IncludeGlobalServiceEvents": boolean,
    			"IsMultiRegionTrail": boolean,
    			"IsOrganizationTrail": boolean,
    			"KmsKeyId": "string",
    			"LogFileValidationEnabled": boolean,
    			"Name": "string",
    			"S3BucketName": "string",
    			"S3KeyPrefix": "string",
    			"SnsTopicArn": "string",
    			"SnsTopicName": "string",
    			"TrailArn": "string"
    		},
    		"AwsCloudWatchAlarm": {
    			"ActionsEnabled": boolean,
    			"AlarmActions": ["string"],
    			"AlarmArn": "string",
    			"AlarmConfigurationUpdatedTimestamp": "string",
    			"AlarmDescription": "string",
    			"AlarmName": "string",
    			"ComparisonOperator": "string",
    			"DatapointsToAlarm": number,
    			"Dimensions": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"EvaluateLowSampleCountPercentile": "string",
    			"EvaluationPeriods": number,
    			"ExtendedStatistic": "string",
    			"InsufficientDataActions": ["string"],
    			"MetricName": "string",
    			"Namespace": "string",
    			"OkActions": ["string"],
    			"Period": number,
    			"Statistic": "string",
    			"Threshold": number,
    			"ThresholdMetricId": "string",
    			"TreatMissingData": "string",
    			"Unit": "string"
    		},
    		"AwsCodeBuildProject": {
    			"Artifacts": [{
    				"ArtifactIdentifier": "string",
    				"EncryptionDisabled": boolean,
    				"Location": "string",
    				"Name": "string",
    				"NamespaceType": "string",
    				"OverrideArtifactName": boolean,
    				"Packaging": "string",
    				"Path": "string",
    				"Type": "string"
    			}],
    			"SecondaryArtifacts": [{
                    "ArtifactIdentifier": "string",
                    "Type": "string",
                    "Location": "string",
                    "Name": "string",
                    "NamespaceType": "string",
                    "Packaging": "string",
                    "Path": "string",
                    "EncryptionDisabled": boolean,
                    "OverrideArtifactName": boolean
                }],
    			"EncryptionKey": "string",
    			"Certificate": "string",
    			"Environment": {
    				"Certificate": "string",
    				"EnvironmentVariables": [{
    					"Name": "string",
    					"Type": "string",
    					"Value": "string"
    				}],
    				"ImagePullCredentialsType": "string",
    				"PrivilegedMode": boolean,
    				"RegistryCredential": {
    					"Credential": "string",
    					"CredentialProvider": "string"
    				},
    				"Type": "string"
    			},
    			"LogsConfig": {
    				"CloudWatchLogs": {
    					"GroupName": "string",
    					"Status": "string",
    					"StreamName": "string"
    				},
    				"S3Logs": {
    					"EncryptionDisabled": boolean,
    					"Location": "string",
    					"Status": "string"
    				}
    			},
    			"Name": "string",
    			"ServiceRole": "string",
    			"Source": {
    				"Type": "string",
    				"Location": "string",
    				"GitCloneDepth": integer
    			},
    			"VpcConfig": {
    				"VpcId": "string",
    				"Subnets": ["string"],
    				"SecurityGroupIds": ["string"]
    			}
    		},
    		"AwsDmsEndpoint": {
    			"CertificateArn": "string",
    			"DatabaseName": "string",
    			"EndpointArn": "string",
    			"EndpointIdentifier": "string",
    			"EndpointType": "string", 
    			"EngineName": "string",
    			"KmsKeyId": "string",
    			"Port": integer,
    			"ServerName": "string",
    			"SslMode": "string",
    			"Username": "string"
    		},
    		"AwsDmsReplicationInstance": {
    			"AllocatedStorage": integer,
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZone": "string",
    			"EngineVersion": "string",
    			"KmsKeyId": "string",
    			"MultiAZ": boolean,
    			"PreferredMaintenanceWindow": "string",
    			"PubliclyAccessible": boolean,
    			"ReplicationInstanceClass": "string",
    			"ReplicationInstanceIdentifier": "string",
    			"ReplicationSubnetGroup": {
        			"ReplicationSubnetGroupIdentifier": "string"
    			},
    			"VpcSecurityGroups": [
        			{
            			"VpcSecurityGroupId": "string"
        			}
    			]
    		},
    		"AwsDmsReplicationTask": {
    			"CdcStartPosition": "string",
    			"Id": "string",
    			"MigrationType": "string",
    			"ReplicationInstanceArn": "string",
    			"ReplicationTaskIdentifier": "string",
    			"ReplicationTaskSettings": {
    				"string": "string"
    			},
    			"SourceEndpointArn": "string",
    			"TableMappings": {
    				"string": "string"
    			},
    			"TargetEndpointArn": "string"
    		},
    		"AwsDynamoDbTable": {
    			"AttributeDefinitions": [{
    				"AttributeName": "string",
    				"AttributeType": "string"
    			}],
    			"BillingModeSummary": {
    				"BillingMode": "string",
    				"LastUpdateToPayPerRequestDateTime": "string"
    			},
    			"CreationDateTime": "string",
    			"DeletionProtectionEnabled": boolean,
    			"GlobalSecondaryIndexes": [{
    				"Backfilling": boolean,
    				"IndexArn": "string",
    				"IndexName": "string",
    				"IndexSizeBytes": number,
    				"IndexStatus": "string",
    				"ItemCount": number,
    				"KeySchema": [{
    					"AttributeName": "string",
    					"KeyType": "string"
    				}],
    				"Projection": {
    					"NonKeyAttributes": ["string"],
    					"ProjectionType": "string"
    				},
    				"ProvisionedThroughput": {
    					"LastDecreaseDateTime": "string",
    					"LastIncreaseDateTime": "string",
    					"NumberOfDecreasesToday": number,
    					"ReadCapacityUnits": number,
    					"WriteCapacityUnits": number
    				}
    			}],
    			"GlobalTableVersion": "string",
    			"ItemCount": number,
    			"KeySchema": [{
    				"AttributeName": "string",
    				"KeyType": "string"
    			}],
    			"LatestStreamArn": "string",
    			"LatestStreamLabel": "string",
    			"LocalSecondaryIndexes": [{
    				"IndexArn": "string",
    				"IndexName": "string",
    				"KeySchema": [{
    					"AttributeName": "string",
    					"KeyType": "string"
    				}],
    				"Projection": {
    					"NonKeyAttributes": ["string"],
    					"ProjectionType": "string"
    				}
    			}],
    			"ProvisionedThroughput": {
    				"LastDecreaseDateTime": "string",
    				"LastIncreaseDateTime": "string",
    				"NumberOfDecreasesToday": number,
    				"ReadCapacityUnits": number,
    				"WriteCapacityUnits": number
    			},
    			"Replicas": [{
    				"GlobalSecondaryIndexes": [{
    					"IndexName": "string",
    					"ProvisionedThroughputOverride": {
    						"ReadCapacityUnits": number
    					}
    				}],
    				"KmsMasterKeyId": "string",
    				"ProvisionedThroughputOverride": {
    					"ReadCapacityUnits": number
    				},
    				"RegionName": "string",
    				"ReplicaStatus": "string",
    				"ReplicaStatusDescription": "string"
    			}],
    			"RestoreSummary": {
    				"RestoreDateTime": "string",
    				"RestoreInProgress": boolean,
    				"SourceBackupArn": "string",
    				"SourceTableArn": "string"
    			},
    			"SseDescription": {
    				"InaccessibleEncryptionDateTime": "string",
    				"KmsMasterKeyArn": "string",
    				"SseType": "string",
    				"Status": "string"
    			},
    			"StreamSpecification": {
    				"StreamEnabled": boolean,
    				"StreamViewType": "string"
    			},
    			"TableId": "string",
    			"TableName": "string",
    			"TableSizeBytes": number,
    			"TableStatus": "string"
    		},
    		"AwsEc2ClientVpnEndpoint": {
    			"AuthenticationOptions": [
    				{
    					"MutualAuthentication": {
    						"ClientRootCertificateChainArn": "string"
    					},
    					"Type": "string"
    				}
    			],
    			"ClientCidrBlock": "string",
    			"ClientConnectOptions": {
    				"Enabled": boolean
    			},
    			"ClientLoginBannerOptions": {
    				"Enabled": boolean
    			},
    			"ClientVpnEndpointId": "string",
    			"ConnectionLogOptions": {
    				"Enabled": boolean
    			},
    			"Description": "string",
    			"DnsServer": ["string"],
    			"ServerCertificateArn": "string",
    			"SecurityGroupIdSet": [
    				"string"
    			],
    			"SelfServicePortalUrl": "string",
    			"SessionTimeoutHours": "integer",
    			"SplitTunnel": boolean,
    			"TransportProtocol": "string",
    			"VpcId": "string",
    			"VpnPort": integer
    		},
    		"AwsEc2Eip": {
    			"AllocationId": "string",
    			"AssociationId": "string",
    			"Domain": "string",
    			"InstanceId": "string",
    			"NetworkBorderGroup": "string",
    			"NetworkInterfaceId": "string",
    			"NetworkInterfaceOwnerId": "string",
    			"PrivateIpAddress": "string",
    			"PublicIp": "string",
    			"PublicIpv4Pool": "string"
    		},
    		"AwsEc2Instance": {
    			"IamInstanceProfileArn": "string",
    			"ImageId": "string",
    			"IpV4Addresses": ["string"],
    			"IpV6Addresses": ["string"],
    			"KeyName": "string",
    			"LaunchedAt": "string",
    			"MetadataOptions": {
    				"HttpEndpoint": "string",
    				"HttpProtocolIpv6": "string",
    				"HttpPutResponseHopLimit": number,
    				"HttpTokens": "string",
    				"InstanceMetadataTags": "string"
    			},
    			"Monitoring": {
    				"State": "string"
    			},
    			"NetworkInterfaces": [{                
    				"NetworkInterfaceId": "string"
    			}],
    			"SubnetId": "string",
    			"Type": "string",    			
    			"VirtualizationType": "string",
    			"VpcId": "string"
    		},   
    		"AwsEc2LaunchTemplate": {
    			"DefaultVersionNumber": "string",
    			"ElasticGpuSpecifications": ["string"],
    			"ElasticInferenceAccelerators": ["string"],
    			"Id": "string",
    			"ImageId": "string",
    			"LatestVersionNumber": "string",
    			"LaunchTemplateData": {
    				"BlockDeviceMappings": [{
    					"DeviceName": "string",
    					"Ebs": {
    						"DeleteonTermination": boolean,
    						"Encrypted": boolean,
    						"SnapshotId": "string",
    						"VolumeSize": number,
    						"VolumeType": "string"
    					}
    				}],
    				"MetadataOptions": {
    					"HttpTokens": "string",
    					"HttpPutResponseHopLimit" : number
    				},
    				"Monitoring": {
    					"Enabled": boolean
    				},
    				"NetworkInterfaces": [{
    					"AssociatePublicIpAddress" : boolean
    				}]
    			},
    			"LaunchTemplateName": "string",
    			"LicenseSpecifications": ["string"],
    			"SecurityGroupIds": ["string"],
    			"SecurityGroups": ["string"],
    			"TagSpecifications": ["string"]
    		},
    		"AwsEc2NetworkAcl": {
    			"Associations": [{
    				"NetworkAclAssociationId": "string",
    				"NetworkAclId": "string",
    				"SubnetId": "string"
    			}],
    			"Entries": [{
    				"CidrBlock": "string",
    				"Egress": boolean,
    				"IcmpTypeCode": {
    					"Code": number,
    					"Type": number
    				},
    				"Ipv6CidrBlock": "string",
    				"PortRange": {
    					"From": number,
    					"To": number
    				},
    				"Protocol": "string",
    				"RuleAction": "string",
    				"RuleNumber": number
    			}],
    			"IsDefault": boolean,
    			"NetworkAclId": "string",
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2NetworkInterface": {
    			"Attachment": {
    				"AttachmentId": "string",
    				"AttachTime": "string",
    				"DeleteOnTermination": boolean,
    				"DeviceIndex": number,
    				"InstanceId": "string",
    				"InstanceOwnerId": "string",
    				"Status": "string"
    			},
    			"Ipv6Addresses": [{
    				"Ipv6Address": "string"
    			}],
    			"NetworkInterfaceId": "string",
    			"PrivateIpAddresses": [{
    				"PrivateDnsName": "string",
    				"PrivateIpAddress": "string"
    			}],
    			"PublicDnsName": "string",
    			"PublicIp": "string",
    			"SecurityGroups": [{
    				"GroupId": "string",
    				"GroupName": "string"
    			}],
    			"SourceDestCheck": boolean
    		},
    		"AwsEc2RouteTable": {
    			"AssociationSet": [{
    				"AssociationState": {
    					"State": "string"
    				},
    				"Main": boolean,
    				"RouteTableAssociationId": "string",
    				"RouteTableId": "string"
    			}],
    			"PropogatingVgwSet": [],
    			"RouteTableId": "string",
    			"RouteSet": [
    				{
    					"DestinationCidrBlock": "string",
    					"GatewayId": "string",
    					"Origin": "string",
    					"State": "string"
    				},
    				{
    					"DestinationCidrBlock": "string",
    					"GatewayId": "string",
    					"Origin": "string",
    					"State": "string"
    				}
    			],
    			"VpcId": "string"
    		},
    		"AwsEc2SecurityGroup": {
    			"GroupId": "string",
    			"GroupName": "string",
    			"IpPermissions": [{
    				"FromPort": number,
    				"IpProtocol": "string",
    				"IpRanges": [{
    					"CidrIp": "string"
    				}],
    				"Ipv6Ranges": [{
    					"CidrIpv6": "string"
    				}],
    				"PrefixListIds": [{
    					"PrefixListId": "string"
    				}],
    				"ToPort": number,
    				"UserIdGroupPairs": [{
    					"GroupId": "string",
    					"GroupName": "string",
    					"PeeringStatus": "string",
    					"UserId": "string",
    					"VpcId": "string",
    					"VpcPeeringConnectionId": "string"
    				}]
    			}],
    			"IpPermissionsEgress": [{
    				"FromPort": number,
    				"IpProtocol": "string",
    				"IpRanges": [{
    					"CidrIp": "string"
    				}],
    				"Ipv6Ranges": [{
    					"CidrIpv6": "string"
    				}],
    				"PrefixListIds": [{
    					"PrefixListId": "string"
    				}],
    				"ToPort": number,
    				"UserIdGroupPairs": [{
    					"GroupId": "string",
    					"GroupName": "string",
    					"PeeringStatus": "string",
    					"UserId": "string",
    					"VpcId": "string",
    					"VpcPeeringConnectionId": "string"
    				}]
    			}],
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2Subnet": {
    			"AssignIpv6AddressOnCreation": boolean,
    			"AvailabilityZone": "string",
    			"AvailabilityZoneId": "string",
    			"AvailableIpAddressCount": number,
    			"CidrBlock": "string",
    			"DefaultForAz": boolean,
    			"Ipv6CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"Ipv6CidrBlock": "string",
    				"CidrBlockState": "string"
    			}],
    			"MapPublicIpOnLaunch": boolean,
    			"OwnerId": "string",
    			"State": "string",
    			"SubnetArn": "string",
    			"SubnetId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2TransitGateway": {
    			"AmazonSideAsn": number,
    			"AssociationDefaultRouteTableId": "string",
    			"AutoAcceptSharedAttachments": "string",
    			"DefaultRouteTableAssociation": "string",
    			"DefaultRouteTablePropagation": "string",
    			"Description": "string",
    			"DnsSupport": "string",
    			"Id": "string",
    			"MulticastSupport": "string",
    			"PropagationDefaultRouteTableId": "string",
    			"TransitGatewayCidrBlocks": ["string"],
    			"VpnEcmpSupport": "string"
    		},
    		"AwsEc2Volume": {
    			"Attachments": [{
    				"AttachTime": "string",
    				"DeleteOnTermination": boolean,
    				"InstanceId": "string",
    				"Status": "string"
    			}],
    			"CreateTime": "string",
    			"DeviceName": "string",
    			"Encrypted": boolean,
    			"KmsKeyId": "string",
    			"Size": number,
    			"SnapshotId": "string",
    			"Status": "string",
    			"VolumeId": "string",
    			"VolumeScanStatus": "string",
    			"VolumeType": "string"
    		},
    		"AwsEc2Vpc": {
    			"CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"CidrBlock": "string",
    				"CidrBlockState": "string"
    			}],
    			"DhcpOptionsId": "string",
    			"Ipv6CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"CidrBlockState": "string",
    				"Ipv6CidrBlock": "string"
    			}],
    			"State": "string"
    		},
    		"AwsEc2VpcEndpointService": {
    			"AcceptanceRequired": boolean,
    			"AvailabilityZones": ["string"],
    			"BaseEndpointDnsNames": ["string"],
    			"ManagesVpcEndpoints": boolean,
    			"GatewayLoadBalancerArns": ["string"],
    			"NetworkLoadBalancerArns": ["string"],
    			"PrivateDnsName": "string",
    			"ServiceId": "string",
    			"ServiceName": "string",
    			"ServiceState": "string",
    			"ServiceType": [{
    				"ServiceType": "string"
    			}]
    		},
    		"AwsEc2VpcPeeringConnection": {
    			"AccepterVpcInfo": {
    				"CidrBlock": "string",
    				"CidrBlockSet": [{
    					"CidrBlock": "string"
    				}],
    				"Ipv6CidrBlockSet": [{
    					"Ipv6CidrBlock": "string"
    				}],
    				"OwnerId": "string",
    				"PeeringOptions": {
    					"AllowDnsResolutionFromRemoteVpc": boolean,
    					"AllowEgressFromLocalClassicLinkToRemoteVpc": boolean,
    					"AllowEgressFromLocalVpcToRemoteClassicLink": boolean
    				},
    				"Region": "string",
    				"VpcId": "string"
    			},
    			"ExpirationTime": "string",
    			"RequesterVpcInfo": {
    				"CidrBlock": "string",
    				"CidrBlockSet": [{
    					"CidrBlock": "string"
    				}],
    				"Ipv6CidrBlockSet": [{
    					"Ipv6CidrBlock": "string"
    				}],
    				"OwnerId": "string",
    				"PeeringOptions": {
    					"AllowDnsResolutionFromRemoteVpc": boolean,
    					"AllowEgressFromLocalClassicLinkToRemoteVpc": boolean,
    					"AllowEgressFromLocalVpcToRemoteClassicLink": boolean
    				},
    				"Region": "string",
    				"VpcId": "string"
    			},
    			"Status": {
    				"Code": "string",
    				"Message": "string"
    			},
    			"VpcPeeringConnectionId": "string"
    		},
    		"AwsEcrContainerImage": {
    			"Architecture": "string",
    			"ImageDigest": "string",
    			"ImagePublishedAt": "string",
    			"ImageTags": ["string"],
    			"RegistryId": "string",
    			"RepositoryName": "string"
    		},
    		"AwsEcrRepository": {
    			"Arn": "string",
    			"ImageScanningConfiguration": {
    				"ScanOnPush": boolean
    			},
    			"ImageTagMutability": "string",
    			"LifecyclePolicy": {
    				"LifecyclePolicyText": "string",
    				"RegistryId": "string"
    			},
    			"RepositoryName": "string",
    			"RepositoryPolicyText": "string"
    		},
    		"AwsEcsCluster": {
    			"ActiveServicesCount": number,
    			"CapacityProviders": ["string"],
    			"ClusterArn": "string",
    			"ClusterName": "string",
    			"ClusterSettings": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"Configuration": {
    				"ExecuteCommandConfiguration": {
    					"KmsKeyId": "string",
    					"LogConfiguration": {
    						"CloudWatchEncryptionEnabled": boolean,
    						"CloudWatchLogGroupName": "string",
    						"S3BucketName": "string",
    						"S3EncryptionEnabled": boolean,
    						"S3KeyPrefix": "string"
    					},
    					"Logging": "string"
    				}
    			},
    			"DefaultCapacityProviderStrategy": [{
    				"Base": number,
    				"CapacityProvider": "string",
    				"Weight": number
    			}],
    			"RegisteredContainerInstancesCount": number,
    			"RunningTasksCount": number,
    			"Status": "string"
    		},
    		"AwsEcsContainer": {
    			"Image": "string",
    			"MountPoints": [{
    				"ContainerPath": "string",
    				"SourceVolume": "string"
    			}],
    			"Name": "string",
    			"Privileged": boolean
    		},
    		"AwsEcsService": {
    			"CapacityProviderStrategy": [{
    				"Base": number,
    				"CapacityProvider": "string",
    				"Weight": number
    			}],
    			"Cluster": "string",
    			"DeploymentConfiguration": {
    				"DeploymentCircuitBreaker": {
    					"Enable": boolean,
    					"Rollback": boolean
    				},
    				"MaximumPercent": number,
    				"MinimumHealthyPercent": number
    			},
    			"DeploymentController": {
    				"Type": "string"
    			},
    			"DesiredCount": number,
    			"EnableEcsManagedTags": boolean,
    			"EnableExecuteCommand": boolean,
    			"HealthCheckGracePeriodSeconds": number,
    			"LaunchType": "string",
    			"LoadBalancers": [{
    				"ContainerName": "string",
    				"ContainerPort": number,
    				"LoadBalancerName": "string",
    				"TargetGroupArn": "string"
    			}],
    			"Name": "string",
    			"NetworkConfiguration": {
    				"AwsVpcConfiguration": {
    					"AssignPublicIp": "string",
    					"SecurityGroups": ["string"],
    					"Subnets": ["string"]
    				}
    			},
    			"PlacementConstraints": [{
    				"Expression": "string",
    				"Type": "string"
    			}],
    			"PlacementStrategies": [{
    				"Field": "string",
    				"Type": "string"
    			}],
    			"PlatformVersion": "string",
    			"PropagateTags": "string",
    			"Role": "string",
    			"SchedulingStrategy": "string",
    			"ServiceArn": "string",
    			"ServiceName": "string",
    			"ServiceRegistries": [{
    				"ContainerName": "string",
    				"ContainerPort": number,
    				"Port": number,
    				"RegistryArn": "string"
    			}],
    			"TaskDefinition": "string"
    		},
    		"AwsEcsTask": {
    			"CreatedAt": "string",
    			"ClusterArn": "string",
    			"Group": "string",
    			"StartedAt": "string",
    			"StartedBy": "string",
    			"TaskDefinitionArn": "string",
    			"Version": number,
    			"Volumes": [{
    				"Name": "string",
    				"Host": {
    					"SourcePath": "string"
    				}
    			}],
    			"Containers": [{
    				"Image": "string",
    				"MountPoints": [{
    					"ContainerPath": "string",
    					"SourceVolume": "string"
    				}],
    				"Name": "string",
    				"Privileged": boolean
    			}]
    		},
    		"AwsEcsTaskDefinition": {
    			"ContainerDefinitions": [{
    				"Command": ["string"],
    				"Cpu": number,
    				"DependsOn": [{
    					"Condition": "string",
    					"ContainerName": "string"
    				}],
    				"DisableNetworking": boolean,
    				"DnsSearchDomains": ["string"],
    				"DnsServers": ["string"],
    				"DockerLabels": {
    					"string": "string"
    				},
    				"DockerSecurityOptions": ["string"],
    				"EntryPoint": ["string"],
    				"Environment": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"EnvironmentFiles": [{
    					"Type": "string",
    					"Value": "string"
    				}],
    				"Essential": boolean,
    				"ExtraHosts": [{
    					"Hostname": "string",
    					"IpAddress": "string"
    				}],
    				"FirelensConfiguration": {
    					"Options": {
    						"string": "string"
    					},
    					"Type": "string"
    				},
    				"HealthCheck": {
    					"Command": ["string"],
    					"Interval": number,
    					"Retries": number,
    					"StartPeriod": number,
    					"Timeout": number
    				},
    				"Hostname": "string",
    				"Image": "string",
    				"Interactive": boolean,
    				"Links": ["string"],
    				"LinuxParameters": {
    					"Capabilities": {
    						"Add": ["string"],
    						"Drop": ["string"]
    					},
    					"Devices": [{
    						"ContainerPath": "string",
    						"HostPath": "string",
    						"Permissions": ["string"]
    					}],
    					"InitProcessEnabled": boolean,
    					"MaxSwap": number,
    					"SharedMemorySize": number,
    					"Swappiness": number,
    					"Tmpfs": [{
    						"ContainerPath": "string",
    						"MountOptions": ["string"],
    						"Size": number
    					}]
    				},
    				"LogConfiguration": {
    					"LogDriver": "string",
    					"Options": {
    						"string": "string"
    					},
    					"SecretOptions": [{
    						"Name": "string",
    						"ValueFrom": "string"
    					}]
    				},
    				"Memory": number,
    				"MemoryReservation": number,
    				"MountPoints": [{
    					"ContainerPath": "string",
    					"ReadOnly": boolean,
    					"SourceVolume": "string"
    				}],
    				"Name": "string",
    				"PortMappings": [{
    					"ContainerPort": number,
    					"HostPort": number,
    					"Protocol": "string"
    				}],
    				"Privileged": boolean,
    				"PseudoTerminal": boolean,
    				"ReadonlyRootFilesystem": boolean,
    				"RepositoryCredentials": {
    					"CredentialsParameter": "string"
    				},
    				"ResourceRequirements": [{
    					"Type": "string",
    					"Value": "string"
    				}],
    				"Secrets": [{
    					"Name": "string",
    					"ValueFrom": "string"
    				}],
    				"StartTimeout": number,
    				"StopTimeout": number,
    				"SystemControls": [{
    					"Namespace": "string",
    					"Value": "string"
    				}],
    				"Ulimits": [{
    					"HardLimit": number,
    					"Name": "string",
    					"SoftLimit": number
    				}],
    				"User": "string",
    				"VolumesFrom": [{
    					"ReadOnly": boolean,
    					"SourceContainer": "string"
    				}],
    				"WorkingDirectory": "string"
    			}],
    			"Cpu": "string",
    			"ExecutionRoleArn": "string",
    			"Family": "string",
    			"InferenceAccelerators": [{
    				"DeviceName": "string",
    				"DeviceType": "string"
    			}],
    			"IpcMode": "string",
    			"Memory": "string",
    			"NetworkMode": "string",
    			"PidMode": "string",
    			"PlacementConstraints": [{
    				"Expression": "string",
    				"Type": "string"
    			}],
    			"ProxyConfiguration": {
    				"ContainerName": "string",
    				"ProxyConfigurationProperties": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"Type": "string"
    			},
    			"RequiresCompatibilities": ["string"],
    			"Status": "string",
    			"TaskRoleArn": "string",
    			"Volumes": [{
    				"DockerVolumeConfiguration": {
    					"Autoprovision": boolean,
    					"Driver": "string",
    					"DriverOpts": {
    						"string": "string"
    					},
    					"Labels": {
    						"string": "string"
    					},
    					"Scope": "string"
    				},
    				"EfsVolumeConfiguration": {
    					"AuthorizationConfig": {
    						"AccessPointId": "string",
    						"Iam": "string"
    					},
    					"FilesystemId": "string",
    					"RootDirectory": "string",
    					"TransitEncryption": "string",
    					"TransitEncryptionPort": number
    				},
    				"Host": {
    					"SourcePath": "string"
    				},
    				"Name": "string"
    			}]
    		},
    		"AwsEfsAccessPoint": {
    			"AccessPointId": "string",
    			"Arn": "string",
    			"ClientToken": "string",
    			"FileSystemId": "string",
    			"PosixUser": {
    				"Gid": "string",
    				"SecondaryGids": ["string"],
    				"Uid": "string"
    			},
    			"RootDirectory": {
    				"CreationInfo": {
    					"OwnerGid": "string",
    					"OwnerUid": "string",
    					"Permissions": "string"
    				},
    				"Path": "string"
    			}
    		},
    		"AwsEksCluster": {
    			"Arn": "string",
    			"CertificateAuthorityData": "string",
    			"ClusterStatus": "string",
    			"Endpoint": "string",
    			"Logging": {
    				"ClusterLogging": [{
    					"Enabled": boolean,
    					"Types": ["string"]
    				}]
    			},
    			"Name": "string",
    			"ResourcesVpcConfig": {
    				"EndpointPublicAccess": boolean,
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			},
    			"RoleArn": "string",
    			"Version": "string"
    		},
    		"AwsElasticBeanstalkEnvironment": {
    			"ApplicationName": "string",
    			"Cname": "string",
    			"DateCreated": "string",
    			"DateUpdated": "string",
    			"Description": "string",
    			"EndpointUrl": "string",
    			"EnvironmentArn": "string",
    			"EnvironmentId": "string",
    			"EnvironmentLinks": [{
    				"EnvironmentName": "string",
    				"LinkName": "string"
    			}],
    			"EnvironmentName": "string",
    			"OptionSettings": [{
    				"Namespace": "string",
    				"OptionName": "string",
    				"ResourceName": "string",
    				"Value": "string"
    			}],
    			"PlatformArn": "string",
    			"SolutionStackName": "string",
    			"Status": "string",
    			"Tier": {
    				"Name": "string",
    				"Type": "string",
    				"Version": "string"
    			},
    			"VersionLabel": "string"
    		},
    		"AwsElasticSearchDomain": {
    			"AccessPolicies": "string",
    			"DomainStatus": {
    				"DomainId": "string",
    				"DomainName": "string",
    				"Endpoint": "string",
    				"Endpoints": {
    					"string": "string"
    				}
    			},
    			"DomainEndpointOptions": {
    				"EnforceHTTPS": boolean,
    				"TLSSecurityPolicy": "string"
    			},
    			"ElasticsearchClusterConfig": {
    				"DedicatedMasterCount": number,
    				"DedicatedMasterEnabled": boolean,
    				"DedicatedMasterType": "string",
    				"InstanceCount": number,
    				"InstanceType": "string",
    				"ZoneAwarenessConfig": {
    					"AvailabilityZoneCount": number
    				},
    				"ZoneAwarenessEnabled": boolean
    			},
    			"ElasticsearchVersion": "string",
    			"EncryptionAtRestOptions": {
    				"Enabled": boolean,
    				"KmsKeyId": "string"
    			},
    			"LogPublishingOptions": {
    				"AuditLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"IndexSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"SearchSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				}
    			},
    			"NodeToNodeEncryptionOptions": {
    				"Enabled": boolean
    			},
    			"ServiceSoftwareOptions": {
    				"AutomatedUpdateDate": "string",
    				"Cancellable": boolean,
    				"CurrentVersion": "string",
    				"Description": "string",
    				"NewVersion": "string",
    				"UpdateAvailable": boolean,
    				"UpdateStatus": "string"
    			},
    			"VPCOptions": {
    				"AvailabilityZones": [
    					"string"
    				],
    				"SecurityGroupIds": [
    					"string"
    				],
    				"SubnetIds": [
    					"string"
    				],
    				"VPCId": "string"
    			}
    		},
    		"AwsElbLoadBalancer": {
    			"AvailabilityZones": ["string"],
    			"BackendServerDescriptions": [{
    				"InstancePort": number,
    				"PolicyNames": ["string"]
    			}],
    			"CanonicalHostedZoneName": "string",
    			"CanonicalHostedZoneNameID": "string",
    			"CreatedTime": "string",
    			"DnsName": "string",
    			"HealthCheck": {
    				"HealthyThreshold": number,
    				"Interval": number,
    				"Target": "string",
    				"Timeout": number,
    				"UnhealthyThreshold": number
    			},
    			"Instances": [{
    				"InstanceId": "string"
    			}],
    			"ListenerDescriptions": [{
    				"Listener": {
    					"InstancePort": number,
    					"InstanceProtocol": "string",
    					"LoadBalancerPort": number,
    					"Protocol": "string",
    					"SslCertificateId": "string"
    				},
    				"PolicyNames": ["string"]
    			}],
    			"LoadBalancerAttributes": {
    				"AccessLog": {
    					"EmitInterval": number,
    					"Enabled": boolean,
    					"S3BucketName": "string",
    					"S3BucketPrefix": "string"
    				},
    				"ConnectionDraining": {
    					"Enabled": boolean,
    					"Timeout": number
    				},
    				"ConnectionSettings": {
    					"IdleTimeout": number
    				},
    				"CrossZoneLoadBalancing": {
    					"Enabled": boolean
    				},
    				"AdditionalAttributes": [{
                        "Key": "string",
                        "Value": "string"
                    }]
    			},
    			"LoadBalancerName": "string",
    			"Policies": {
    				"AppCookieStickinessPolicies": [{
    					"CookieName": "string",
    					"PolicyName": "string"
    				}],
    				"LbCookieStickinessPolicies": [{
    					"CookieExpirationPeriod": number,
    					"PolicyName": "string"
    				}],
    				"OtherPolicies": ["string"]
    			},
    			"Scheme": "string",
    			"SecurityGroups": ["string"],
    			"SourceSecurityGroup": {
    				"GroupName": "string",
    				"OwnerAlias": "string"
    			},
    			"Subnets": ["string"],
    			"VpcId": "string"
    		},
    		"AwsElbv2LoadBalancer": {
    			"AvailabilityZones": {
    				"SubnetId": "string",
    				"ZoneName": "string"
    			},
    			"CanonicalHostedZoneId": "string",
    			"CreatedTime": "string",
    			"DNSName": "string",
    			"IpAddressType": "string",
    			"LoadBalancerAttributes": [{
    				"Key": "string",
    				"Value": "string"
    			}],
    			"Scheme": "string",
    			"SecurityGroups": ["string"],
    			"State": {
    				"Code": "string",
    				"Reason": "string"
    			},
    			"Type": "string",
    			"VpcId": "string"
    		},
    		"AwsEventSchemasRegistry": {
    			"Description": "string",
    			"RegistryArn": "string",
    			"RegistryName": "string"
    		},
    		"AwsEventsEndpoint": {
    			"Arn": "string",
    			"Description": "string",
    			"EndpointId": "string",
    			"EndpointUrl": "string",
    			"EventBuses": [
        			{
            			"EventBusArn": "string"
        			},
        			{
            			"EventBusArn": "string"
        			}
    			],
    			"Name": "string",
    			"ReplicationConfig": {
        			"State": "string"
    			},
    			"RoleArn": "string",
    			"RoutingConfig": {
        			"FailoverConfig": {
            			"Primary": {
                			"HealthCheck": "string"
            			},
            			"Secondary": {
                			"Route": "string"
            			}
        			}
    			},
    			"State": "string"
    		},
    		"AwsEventsEventBus": {
    			"Arn": "string",
    			"Name": "string",
    			"Policy": "string"
    		},
    		"AwsGuardDutyDetector": {
    			"FindingPublishingFrequency": "string",
    			"ServiceRole": "string",
    			"Status": "string",
    			"DataSources": {
    				"CloudTrail": {
    					"Status": "string"
    				},
    				"DnsLogs": {
    					"Status": "string"
    				},
    				"FlowLogs": {
    					"Status": "string"
    				},
    				"S3Logs": {
    					"Status": "string"
    				},
    				"Kubernetes": {
    					"AuditLogs": {
    						"Status": "string"
    					}
    				},
    				"MalwareProtection": {
    					"ScanEc2InstanceWithFindings": {
    						"EbsVolumes": {
    							"Status": "string"
    						}
    					},
    					"ServiceRole": "string"
    				}
    			}
    		},
    		"AwsIamAccessKey": {
    			"AccessKeyId": "string",
    			"AccountId": "string",
    			"CreatedAt": "string",
    			"PrincipalId": "string",
    			"PrincipalName": "string",
    			"PrincipalType": "string",
    			"SessionContext": {
    				"Attributes": {
    					"CreationDate": "string",
    					"MfaAuthenticated": boolean
    				},
    				"SessionIssuer": {
    					"AccountId": "string",
    					"Arn": "string",
    					"PrincipalId": "string",
    					"Type": "string",
    					"UserName": "string"
    				}
    			},
    			"Status": "string"
    		},
    		"AwsIamGroup": {
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"GroupId": "string",
    			"GroupName": "string",
    			"GroupPolicyList": [{
    				"PolicyName": "string"
    			}],
    			"Path": "string"
    		},
    		"AwsIamPolicy": {
    			"AttachmentCount": number,
    			"CreateDate": "string",
    			"DefaultVersionId": "string",
    			"Description": "string",
    			"IsAttachable": boolean,
    			"Path": "string",
    			"PermissionsBoundaryUsageCount": number,
    			"PolicyId": "string",
    			"PolicyName": "string",
    			"PolicyVersionList": [{
    				"CreateDate": "string",
    				"IsDefaultVersion": boolean,
    				"VersionId": "string"
    			}],
    			"UpdateDate": "string"
    		},
    		"AwsIamRole": {
    			"AssumeRolePolicyDocument": "string",
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"InstanceProfileList": [{
    				"Arn": "string",
    				"CreateDate": "string",
    				"InstanceProfileId": "string",
    				"InstanceProfileName": "string",
    				"Path": "string",
    				"Roles": [{
    					"Arn": "string",
    					"AssumeRolePolicyDocument": "string",
    					"CreateDate": "string",
    					"Path": "string",
    					"RoleId": "string",
    					"RoleName": "string"
    				}]
    			}],
    			"MaxSessionDuration": number,
    			"Path": "string",
    			"PermissionsBoundary": {
    				"PermissionsBoundaryArn": "string",
    				"PermissionsBoundaryType": "string"
    			},
    			"RoleId": "string",
    			"RoleName": "string",
    			"RolePolicyList": [{
    				"PolicyName": "string"
    			}]
    		},
    		"AwsIamUser": {
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"GroupList": ["string"],
    			"Path": "string",
    			"PermissionsBoundary": {
    				"PermissionsBoundaryArn": "string",
    				"PermissionsBoundaryType": "string"
    			},
    			"UserId": "string",
    			"UserName": "string",
    			"UserPolicyList": [{
    				"PolicyName": "string"
    			}]
    		},
    		"AwsKinesisStream": {
    			"Arn": "string",
    			"Name": "string",
    			"RetentionPeriodHours": number,
    			"ShardCount": number,
    			"StreamEncryption": {
    				"EncryptionType": "string",
    				"KeyId": "string"
    			}
    		},
    		"AwsKmsKey": {
    			"AWSAccountId": "string",
    			"CreationDate": "string",
    			"Description": "string",
    			"KeyId": "string",
    			"KeyManager": "string",
    			"KeyRotationStatus": boolean,
    			"KeyState": "string",
    			"Origin": "string"
    		},
    		"AwsLambdaFunction": {
    			"Architectures": [
    				"string"
    			],
    			"Code": {
    				"S3Bucket": "string",
    				"S3Key": "string",
    				"S3ObjectVersion": "string",
    				"ZipFile": "string"
    			},
    			"CodeSha256": "string",
    			"DeadLetterConfig": {
    				"TargetArn": "string"
    			},
    			"Environment": {
    				"Variables": {
    					"Stage": "string"
    				},
    				"Error": {
    					"ErrorCode": "string",
    					"Message": "string"
    				}
    			},
    			"FunctionName": "string",
    			"Handler": "string",
    			"KmsKeyArn": "string",
    			"LastModified": "string",
    			"Layers": {
    				"Arn": "string",
    				"CodeSize": number
    			},
    			"PackageType": "string",
    			"RevisionId": "string",
    			"Role": "string",
    			"Runtime": "string",
    			"Timeout": integer,
    			"TracingConfig": {
    				"Mode": "string"
    			},
    			"Version": "string",
    			"VpcConfig": {
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			},
    			"MasterArn": "string",
    			"MemorySize": number
    		},
    		"AwsLambdaLayerVersion": {
    			"CompatibleRuntimes": [
    				"string"
    			],
    			"CreatedDate": "string",
    			"Version": number
    		},
    		"AwsMskCluster": {
    			"ClusterInfo": {
    				"ClientAuthentication": {
    					"Sasl": {
    						"Scram": {
    							"Enabled": boolean
    						},
    						"Iam": {
    							"Enabled": boolean
    						}
    					},
    					"Tls": {
    						"CertificateAuthorityArnList": [],
    						"Enabled": boolean
    					},
    					"Unauthenticated": {
    						"Enabled": boolean
    					}
    				},
    				"ClusterName": "string",
    				"CurrentVersion": "string",
    				"EncryptionInfo": {
    					"EncryptionAtRest": {
    						"DataVolumeKMSKeyId": "string"
    					},
    					"EncryptionInTransit": {
    						"ClientBroker": "string",
    						"InCluster": boolean
    					}
    				},
    				"EnhancedMonitoring": "string",
    				"NumberOfBrokerNodes": integer
    			}
    		},
    		"AwsNetworkFirewallFirewall": {
    			"DeleteProtection": boolean,
    			"Description": "string",
    			"FirewallArn": "string",
    			"FirewallId": "string",
    			"FirewallName": "string",
    			"FirewallPolicyArn": "string",
    			"FirewallPolicyChangeProtection": boolean,
    			"SubnetChangeProtection": boolean,
    			"SubnetMappings": [{
    				"SubnetId": "string"
    			}],
    			"VpcId": "string"
    		},
    		"AwsNetworkFirewallFirewallPolicy": {
    			"Description": "string",
    			"FirewallPolicy": {
    				"StatefulRuleGroupReferences": [{
    					"ResourceArn": "string"
    				}],
    				"StatelessCustomActions": [{
    					"ActionDefinition": {
    						"PublishMetricAction": {
    							"Dimensions": [{
    								"Value": "string"
    							}]
    						}
    					},
    					"ActionName": "string"
    				}],
    				"StatelessDefaultActions": ["string"],
    				"StatelessFragmentDefaultActions": ["string"],
    				"StatelessRuleGroupReferences": [{
    					"Priority": number,
    					"ResourceArn": "string"
    				}]
    			},
    			"FirewallPolicyArn": "string",
    			"FirewallPolicyId": "string",
    			"FirewallPolicyName": "string"
    		},
    		"AwsNetworkFirewallRuleGroup": {
    			"Capacity": number,
    			"Description": "string",
    			"RuleGroup": {
    				"RulesSource": {
    					"RulesSourceList": {
    						"GeneratedRulesType": "string",
    						"Targets": ["string"],
    						"TargetTypes": ["string"]
    					},
    					"RulesString": "string",
    					"StatefulRules": [{
    						"Action": "string",
    						"Header": {
    							"Destination": "string",
    							"DestinationPort": "string",
    							"Direction": "string",
    							"Protocol": "string",
    							"Source": "string",
    							"SourcePort": "string"
    						},
    						"RuleOptions": [{
    							"Keyword": "string",
    							"Settings": ["string"]
    						}]
    					}],
    					"StatelessRulesAndCustomActions": {
    						"CustomActions": [{
    							"ActionDefinition": {
    								"PublishMetricAction": {
    									"Dimensions": [{
    										"Value": "string"
    									}]
    								}
    							},
    							"ActionName": "string"
    						}],
    						"StatelessRules": [{
    							"Priority": number,
    							"RuleDefinition": {
    								"Actions": ["string"],
    								"MatchAttributes": {
    									"DestinationPorts": [{
    										"FromPort": number,
    										"ToPort": number
    									}],
    									"Destinations": [{
    										"AddressDefinition": "string"
    									}],
    									"Protocols": [number],
    									"SourcePorts": [{
    										"FromPort": number,
    										"ToPort": number
    									}],
    									"Sources": [{
    										"AddressDefinition": "string"
    									}],
    									"TcpFlags": [{
    										"Flags": ["string"],
    										"Masks": ["string"]
    									}]
    								}
    							}
    						}]
    					}
    				},
    				"RuleVariables": {
    					"IpSets": {
    						"Definition": ["string"]
    					},
    					"PortSets": {
    						"Definition": ["string"]
    					}
    				}
    			},
    			"RuleGroupArn": "string",
    			"RuleGroupId": "string",
    			"RuleGroupName": "string",
    			"Type": "string"
    		},
    		"AwsOpenSearchServiceDomain": {
    			"AccessPolicies": "string",
    			"AdvancedSecurityOptions": {
    				"Enabled": boolean,
    				"InternalUserDatabaseEnabled": boolean,
    				"MasterUserOptions": {
    					"MasterUserArn": "string",
    					"MasterUserName": "string",
    					"MasterUserPassword": "string"
    				}
    			},
    			"Arn": "string",
    			"ClusterConfig": {
    				"DedicatedMasterCount": number,
    				"DedicatedMasterEnabled": boolean,
    				"DedicatedMasterType": "string",
    				"InstanceCount": number,
    				"InstanceType": "string",
    				"WarmCount": number,
    				"WarmEnabled": boolean,
    				"WarmType": "string",
    				"ZoneAwarenessConfig": {
    					"AvailabilityZoneCount": number
    				},
    				"ZoneAwarenessEnabled": boolean
    			},
    			"DomainEndpoint": "string",
    			"DomainEndpointOptions": {
    				"CustomEndpoint": "string",
    				"CustomEndpointCertificateArn": "string",
    				"CustomEndpointEnabled": boolean,
    				"EnforceHTTPS": boolean,
    				"TLSSecurityPolicy": "string"
    			},
    			"DomainEndpoints": {
    				"string": "string"
    			},
    			"DomainName": "string",
    			"EncryptionAtRestOptions": {
    				"Enabled": boolean,
    				"KmsKeyId": "string"
    			},
    			"EngineVersion": "string",
    			"Id": "string",
    			"LogPublishingOptions": {
    				"AuditLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"IndexSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"SearchSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				}
    			},
    			"NodeToNodeEncryptionOptions": {
    				"Enabled": boolean
    			},
    			"ServiceSoftwareOptions": {
    				"AutomatedUpdateDate": "string",
    				"Cancellable": boolean,
    				"CurrentVersion": "string",
    				"Description": "string",
    				"NewVersion": "string",
    				"OptionalDeployment": boolean,
    				"UpdateAvailable": boolean,
    				"UpdateStatus": "string"
    			},
    			"VpcOptions": {
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			}
    		},
    		"AwsRdsDbCluster": {
    			"ActivityStreamStatus": "string",
    			"AllocatedStorage": number,
    			"AssociatedRoles": [{
    				"RoleArn": "string",
    				"Status": "string"
    			}],
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZones": ["string"],
    			"BackupRetentionPeriod": integer,
    			"ClusterCreateTime": "string",
    			"CopyTagsToSnapshot": boolean,
    			"CrossAccountClone": boolean,
    			"CustomEndpoints": ["string"],
    			"DatabaseName": "string",
    			"DbClusterIdentifier": "string",
    			"DbClusterMembers": [{
    				"DbClusterParameterGroupStatus": "string",
    				"DbInstanceIdentifier": "string",
    				"IsClusterWriter": boolean,
    				"PromotionTier": integer
    			}],
    			"DbClusterOptionGroupMemberships": [{
    				"DbClusterOptionGroupName": "string",
    				"Status": "string"
    			}],
    			"DbClusterParameterGroup": "string",
    			"DbClusterResourceId": "string",
    			"DbSubnetGroup": "string",
    			"DeletionProtection": boolean,
    			"DomainMemberships": [{
    				"Domain": "string",
    				"Fqdn": "string",
    				"IamRoleName": "string",
    				"Status": "string"
    			}],
    			"EnabledCloudwatchLogsExports": ["string"],
    			"Endpoint": "string",
    			"Engine": "string",
    			"EngineMode": "string",
    			"EngineVersion": "string",
    			"HostedZoneId": "string",
    			"HttpEndpointEnabled": boolean,
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"KmsKeyId": "string",
    			"MasterUsername": "string",
    			"MultiAz": boolean,
    			"Port": integer,
    			"PreferredBackupWindow": "string",
    			"PreferredMaintenanceWindow": "string",
    			"ReaderEndpoint": "string",
    			"ReadReplicaIdentifiers": ["string"],
    			"Status": "string",
    			"StorageEncrypted": boolean,
    			"VpcSecurityGroups": [{
    				"Status": "string",
    				"VpcSecurityGroupId": "string"
    			}]
    		},
    		"AwsRdsDbClusterSnapshot": {
    			"AllocatedStorage": integer,
    			"AvailabilityZones": ["string"],
    			"ClusterCreateTime": "string",
    			"DbClusterIdentifier": "string",
    			"DbClusterSnapshotAttributes": [{
    				"AttributeName": "string",
    				"AttributeValues": ["string"]
    			}],
    			"DbClusterSnapshotIdentifier": "string",
    			"Engine": "string",
    			"EngineVersion": "string",
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"KmsKeyId": "string",
    			"LicenseModel": "string",
    			"MasterUsername": "string",
    			"PercentProgress": integer,
    			"Port": integer,
    			"SnapshotCreateTime": "string",
    			"SnapshotType": "string",
    			"Status": "string",
    			"StorageEncrypted": boolean,
    			"VpcId": "string"
    		},
    		"AwsRdsDbInstance": {
    			"AllocatedStorage": number,
    			"AssociatedRoles": [{
    				"RoleArn": "string",
    				"FeatureName": "string",
    				"Status": "string"
    			}],
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZone": "string",
    			"BackupRetentionPeriod": number,
    			"CACertificateIdentifier": "string",
    			"CharacterSetName": "string",
    			"CopyTagsToSnapshot": boolean,
    			"DBClusterIdentifier": "string",
    			"DBInstanceClass": "string",
    			"DBInstanceIdentifier": "string",
    			"DbInstancePort": number,
    			"DbInstanceStatus": "string",
    			"DbiResourceId": "string",
    			"DBName": "string",
    			"DbParameterGroups": [{
    				"DbParameterGroupName": "string",
    				"ParameterApplyStatus": "string"
    			}],
    			"DbSecurityGroups": ["string"],
    			"DbSubnetGroup": {
    				"DbSubnetGroupArn": "string",
    				"DbSubnetGroupDescription": "string",
    				"DbSubnetGroupName": "string",
    				"SubnetGroupStatus": "string",
    				"Subnets": [{
    					"SubnetAvailabilityZone": {
    						"Name": "string"
    					},
    					"SubnetIdentifier": "string",
    					"SubnetStatus": "string"
    				}],
    				"VpcId": "string"
    			},
    			"DeletionProtection": boolean,
    			"Endpoint": {
    				"Address": "string",
    				"Port": number,
    				"HostedZoneId": "string"
    			},
    			"DomainMemberships": [{
    				"Domain": "string",
    				"Fqdn": "string",
    				"IamRoleName": "string",
    				"Status": "string"
    			}],
    			"EnabledCloudwatchLogsExports": ["string"],
    			"Engine": "string",
    			"EngineVersion": "string",
    			"EnhancedMonitoringResourceArn": "string",
    			"IAMDatabaseAuthenticationEnabled": boolean,
    			"InstanceCreateTime": "string",
    			"Iops": number,
    			"KmsKeyId": "string",
    			"LatestRestorableTime": "string",
    			"LicenseModel": "string",
    			"ListenerEndpoint": {
    				"Address": "string",
    				"HostedZoneId": "string",
    				"Port": number
    			},
    			"MasterUsername": "admin",
    			"MaxAllocatedStorage": number,
    			"MonitoringInterval": number,
    			"MonitoringRoleArn": "string",
    			"MultiAz": boolean,
    			"OptionGroupMemberships": [{
    				"OptionGroupName": "string",
    				"Status": "string"
    			}],
    			"PendingModifiedValues": {
    				"AllocatedStorage": number,
    				"BackupRetentionPeriod": number,
    				"CaCertificateIdentifier": "string",
    				"DbInstanceClass": "string",
    				"DbInstanceIdentifier": "string",
    				"DbSubnetGroupName": "string",
    				"EngineVersion": "string",
    				"Iops": number,
    				"LicenseModel": "string",
    				"MasterUserPassword": "string",
    				"MultiAZ": boolean,
    				"PendingCloudWatchLogsExports": {
    					"LogTypesToDisable": ["string"],
    					"LogTypesToEnable": ["string"]
    				},
    				"Port": number,
    				"ProcessorFeatures": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"StorageType": "string"
    			},
    			"PerformanceInsightsEnabled": boolean,
    			"PerformanceInsightsKmsKeyId": "string",
    			"PerformanceInsightsRetentionPeriod": number,
    			"PreferredBackupWindow": "string",
    			"PreferredMaintenanceWindow": "string",
    			"ProcessorFeatures": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"PromotionTier": number,
    			"PubliclyAccessible": boolean,
    			"ReadReplicaDBClusterIdentifiers": ["string"],
    			"ReadReplicaDBInstanceIdentifiers": ["string"],
    			"ReadReplicaSourceDBInstanceIdentifier": "string",
    			"SecondaryAvailabilityZone": "string",
    			"StatusInfos": [{
    				"Message": "string",
    				"Normal": boolean,
    				"Status": "string",
    				"StatusType": "string"
    			}],
    			"StorageEncrypted": boolean,
    			"TdeCredentialArn": "string",
    			"Timezone": "string",
    			"VpcSecurityGroups": [{
    				"VpcSecurityGroupId": "string",
    				"Status": "string"
    			}]
    		},
    		"AwsRdsDbSecurityGroup": {
    			"DbSecurityGroupArn": "string",
    			"DbSecurityGroupDescription": "string",
    			"DbSecurityGroupName": "string",
    			"Ec2SecurityGroups": [{
    				"Ec2SecurityGroupuId": "string",
    				"Ec2SecurityGroupName": "string",
    				"Ec2SecurityGroupOwnerId": "string",
    				"Status": "string"
    			}],
    			"IpRanges": [{
    				"CidrIp": "string",
    				"Status": "string"
    			}],
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsRdsDbSnapshot": {
    			"AllocatedStorage": integer,
    			"AvailabilityZone": "string",
    			"DbInstanceIdentifier": "string",
    			"DbiResourceId": "string",
    			"DbSnapshotIdentifier": "string",
    			"Encrypted": boolean,
    			"Engine": "string",
    			"EngineVersion": "string",
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"InstanceCreateTime": "string",
    			"Iops": number,
    			"KmsKeyId": "string",
    			"LicenseModel": "string",
    			"MasterUsername": "string",
    			"OptionGroupName": "string",
    			"PercentProgress": integer,
    			"Port": integer,
    			"ProcessorFeatures": [],
    			"SnapshotCreateTime": "string",
    			"SnapshotType": "string",
    			"SourceDbSnapshotIdentifier": "string",
    			"SourceRegion": "string",
    			"Status": "string",
    			"StorageType": "string",
    			"TdeCredentialArn": "string",
    			"Timezone": "string",
    			"VpcId": "string"
    		},
    		"AwsRdsEventSubscription": {
    			"CustomerAwsId": "string",
    			"CustSubscriptionId": "string",
    			"Enabled": boolean,
    			"EventCategoriesList": ["string"],
    			"EventSubscriptionArn": "string",
    			"SnsTopicArn": "string",
    			"SourceIdsList": ["string"],
    			"SourceType": "string",
    			"Status": "string",
    			"SubscriptionCreationTime": "string"
    		},
    		"AwsRedshiftCluster": {
    			"AllowVersionUpgrade": boolean,
    			"AutomatedSnapshotRetentionPeriod": number,
    			"AvailabilityZone": "string",
    			"ClusterAvailabilityStatus": "string",
    			"ClusterCreateTime": "string",
    			"ClusterIdentifier": "string",
    			"ClusterNodes": [{
    				"NodeRole": "string",
    				"PrivateIPAddress": "string",
    				"PublicIPAddress": "string"
    			}],
    			"ClusterParameterGroups": [{
    				"ClusterParameterStatusList": [{
    					"ParameterApplyErrorDescription": "string",
    					"ParameterApplyStatus": "string",
    					"ParameterName": "string"
    				}],
    				"ParameterApplyStatus": "string",
    				"ParameterGroupName": "string"
    			}],
    			"ClusterPublicKey": "string",
    			"ClusterRevisionNumber": "string",
    			"ClusterSecurityGroups": [{
    				"ClusterSecurityGroupName": "string",
    				"Status": "string"
    			}],
    			"ClusterSnapshotCopyStatus": {
    				"DestinationRegion": "string",
    				"ManualSnapshotRetentionPeriod": number,
    				"RetentionPeriod": number,
    				"SnapshotCopyGrantName": "string"
    			},
    			"ClusterStatus": "string",
    			"ClusterSubnetGroupName": "string",
    			"ClusterVersion": "string",
    			"DBName": "string",
    			"DeferredMaintenanceWindows": [{
    				"DeferMaintenanceEndTime": "string",
    				"DeferMaintenanceIdentifier": "string",
    				"DeferMaintenanceStartTime": "string"
    			}],
    			"ElasticIpStatus": {
    				"ElasticIp": "string",
    				"Status": "string"
    			},
    			"ElasticResizeNumberOfNodeOptions": "string",
    			"Encrypted": boolean,
    			"Endpoint": {
    				"Address": "string",
    				"Port": number
    			},
    			"EnhancedVpcRouting": boolean,
    			"ExpectedNextSnapshotScheduleTime": "string",
    			"ExpectedNextSnapshotScheduleTimeStatus": "string",
    			"HsmStatus": {
    				"HsmClientCertificateIdentifier": "string",
    				"HsmConfigurationIdentifier": "string",
    				"Status": "string"
    			},
    			"IamRoles": [{
    				"ApplyStatus": "string",
    				"IamRoleArn": "string"
    			}],
    			"KmsKeyId": "string",
    			"LoggingStatus":{
                    "BucketName": "string",
                    "LastFailureMessage": "string",
                    "LastFailureTime": "string",
                    "LastSuccessfulDeliveryTime": "string",
                    "LoggingEnabled": boolean,
                    "S3KeyPrefix": "string"
                },
    			"MaintenanceTrackName": "string",
    			"ManualSnapshotRetentionPeriod": number,
    			"MasterUsername": "string",
    			"NextMaintenanceWindowStartTime": "string",
    			"NodeType": "string",
    			"NumberOfNodes": number,
    			"PendingActions": ["string"],
    			"PendingModifiedValues": {
    				"AutomatedSnapshotRetentionPeriod": number,
    				"ClusterIdentifier": "string",
    				"ClusterType": "string",
    				"ClusterVersion": "string",
    				"EncryptionType": "string",
    				"EnhancedVpcRouting": boolean,
    				"MaintenanceTrackName": "string",
    				"MasterUserPassword": "string",
    				"NodeType": "string",
    				"NumberOfNodes": number,
    				"PubliclyAccessible": "string"
    			},
    			"PreferredMaintenanceWindow": "string",
    			"PubliclyAccessible": boolean,
    			"ResizeInfo": {
    				"AllowCancelResize": boolean,
    				"ResizeType": "string"
    			},
    			"RestoreStatus": {
    				"CurrentRestoreRateInMegaBytesPerSecond": number,
    				"ElapsedTimeInSeconds": number,
    				"EstimatedTimeToCompletionInSeconds": number,
    				"ProgressInMegaBytes": number,
    				"SnapshotSizeInMegaBytes": number,
    				"Status": "string"
    			},
    			"SnapshotScheduleIdentifier": "string",
    			"SnapshotScheduleState": "string",
    			"VpcId": "string",
    			"VpcSecurityGroups": [{
    				"Status": "string",
    				"VpcSecurityGroupId": "string"
    			}]
    		},
    		"AwsRoute53HostedZone": {
    			"HostedZone": {
    				"Id": "string",
    				"Name": "string",
    				"Config": {
    					"Comment": "string"
    				}
    			},
    			"NameServers": ["string"],
    			"QueryLoggingConfig": {
    				"CloudWatchLogsLogGroupArn": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Id": "string",
    					"HostedZoneId": "string"
    				}
    			},
    			"Vpcs": [
    				{
    					"Id": "string",
    					"Region": "string"
    				}
    			]
    		},
    		"AwsS3AccessPoint": {
    			"AccessPointArn": "string",
    			"Alias": "string",
    			"Bucket": "string",
    			"BucketAccountId": "string",
    			"Name": "string",
    			"NetworkOrigin": "string",
    			"PublicAccessBlockConfiguration": {
    				"BlockPublicAcls": boolean,
    				"BlockPublicPolicy": boolean,
    				"IgnorePublicAcls": boolean,
    				"RestrictPublicBuckets": boolean
    			},
    			"VpcConfiguration": {
    				"VpcId": "string"
    			}
    		},
    		"AwsS3AccountPublicAccessBlock": {
    			"BlockPublicAcls": boolean,
    			"BlockPublicPolicy": boolean,
    			"IgnorePublicAcls": boolean,
    			"RestrictPublicBuckets": boolean
    		},
    		"AwsS3Bucket": {
    			"AccessControlList": "string",
    			"BucketLifecycleConfiguration": {
    				"Rules": [{
    					"AbortIncompleteMultipartUpload": {
    						"DaysAfterInitiation": number
    					},
    					"ExpirationDate": "string",
    					"ExpirationInDays": number,
    					"ExpiredObjectDeleteMarker": boolean,
    					"Filter": {
    						"Predicate": {
    							"Operands": [{
    									"Prefix": "string",
    									"Type": "string"
    								},
    								{
    									"Tag": {
    										"Key": "string",
    										"Value": "string"
    									},
    									"Type": "string"
    								}
    							],
    							"Type": "string"
    						}
    					},
    					"Id": "string",
    					"NoncurrentVersionExpirationInDays": number,
    					"NoncurrentVersionTransitions": [{
    						"Days": number,
    						"StorageClass": "string"
    					}],
    					"Prefix": "string",
    					"Status": "string",
    					"Transitions": [{
    						"Date": "string",
    						"Days": number,
    						"StorageClass": "string"
    					}]
    				}]
    			},
    			"BucketLoggingConfiguration": {
    				"DestinationBucketName": "string",
    				"LogFilePrefix": "string"
    			},
    			"BucketName": "string",
    			"BucketNotificationConfiguration": {
    				"Configurations": [{
    					"Destination": "string",
    					"Events": ["string"],
    					"Filter": {
    						"S3KeyFilter": {
    							"FilterRules": [{
    								"Name": "string",
    								"Value": "string"
    							}]
    						}
    					},
    					"Type": "string"
    				}]
    			},
    			"BucketVersioningConfiguration": {
    				"IsMfaDeleteEnabled": boolean,
    				"Status": "string"
    			},
    			"BucketWebsiteConfiguration": {
    				"ErrorDocument": "string",
    				"IndexDocumentSuffix": "string",
    				"RedirectAllRequestsTo": {
    					"HostName": "string",
    					"Protocol": "string"
    				},
    				"RoutingRules": [{
    					"Condition": {
    						"HttpErrorCodeReturnedEquals": "string",
    						"KeyPrefixEquals": "string"
    					},
    					"Redirect": {
    						"HostName": "string",
    						"HttpRedirectCode": "string",
    						"Protocol": "string",
    						"ReplaceKeyPrefixWith": "string",
    						"ReplaceKeyWith": "string"
    					}
    				}]
    			},
    			"CreatedAt": "string",
    			"ObjectLockConfiguration": {
    				"ObjectLockEnabled": "string",
    				"Rule": {
    					"DefaultRetention": {
    						"Days": integer,
    						"Mode": "string",
    						"Years": integer
    					}
    				}
    			},
    			"OwnerAccountId": "string",
    			"OwnerId": "string",
    			"OwnerName": "string",
    			"PublicAccessBlockConfiguration": {
    				"BlockPublicAcls": boolean,
    				"BlockPublicPolicy": boolean,
    				"IgnorePublicAcls": boolean,
    				"RestrictPublicBuckets": boolean
    			},
    			"ServerSideEncryptionConfiguration": {
    				"Rules": [{
    					"ApplyServerSideEncryptionByDefault": {
    						"KMSMasterKeyID": "string",
    						"SSEAlgorithm": "string"
    					}
    				}]
    			}
    		},
    		"AwsS3Object": {
    			"ContentType": "string",
    			"ETag": "string",
    			"LastModified": "string",
    			"ServerSideEncryption": "string",
    			"SSEKMSKeyId": "string",
    			"VersionId": "string"
    		},
    		"AwsSagemakerNotebookInstance": {
    			"DirectInternetAccess": "string",
    			"InstanceMetadataServiceConfiguration": {
    				"MinimumInstanceMetadataServiceVersion": "string"
    			},
    			"InstanceType": "string",
    			"LastModifiedTime": "string",
    			"NetworkInterfaceId": "string",
    			"NotebookInstanceArn": "string",
    			"NotebookInstanceName": "string",
    			"NotebookInstanceStatus": "string",
    			"PlatformIdentifier": "string",
    			"RoleArn": "string",
    			"RootAccess": "string",
    			"SecurityGroups": ["string"],
    			"SubnetId": "string",
    			"Url": "string",
    			"VolumeSizeInGB": number
    		},
    		"AwsSecretsManagerSecret": {
    			"Deleted": boolean,
    			"Description": "string",
    			"KmsKeyId": "string",
    			"Name": "string",
    			"RotationEnabled": boolean,
    			"RotationLambdaArn": "string",
    			"RotationOccurredWithinFrequency": boolean,
    			"RotationRules": {
    				"AutomaticallyAfterDays": integer
    			}
    		},
    		"AwsSnsTopic": {
    			"ApplicationSuccessFeedbackRoleArn": "string",		
    			"FirehoseFailureFeedbackRoleArn": "string",
    			"FirehoseSuccessFeedbackRoleArn": "string",
    			"HttpFailureFeedbackRoleArn": "string",
    			"HttpSuccessFeedbackRoleArn": "string",
    			"KmsMasterKeyId": "string",                 
    			"Owner": "string",
    			"SqsFailureFeedbackRoleArn": "string",
    			"SqsSuccessFeedbackRoleArn": "string",	
    			"Subscription": {
    				"Endpoint": "string",
    				"Protocol": "string"
    			},
    			"TopicName": "string"   			              
    		},
    		"AwsSqsQueue": {
    			"DeadLetterTargetArn": "string",
    			"KmsDataKeyReusePeriodSeconds": number,
    			"KmsMasterKeyId": "string",
    			"QueueName": "string"
    		},
    		"AwsSsmPatchCompliance": {
    			"Patch": {
    				"ComplianceSummary": {
    					"ComplianceType": "string",
    					"CompliantCriticalCount": integer,
    					"CompliantHighCount": integer,
    					"CompliantInformationalCount": integer,
    					"CompliantLowCount": integer,
    					"CompliantMediumCount": integer,
    					"CompliantUnspecifiedCount": integer,
    					"ExecutionType": "string",
    					"NonCompliantCriticalCount": integer,
    					"NonCompliantHighCount": integer,
    					"NonCompliantInformationalCount": integer,
    					"NonCompliantLowCount": integer,
    					"NonCompliantMediumCount": integer,
    					"NonCompliantUnspecifiedCount": integer,
    					"OverallSeverity": "string",
    					"PatchBaselineId": "string",
    					"PatchGroup": "string",
    					"Status": "string"
    				}
    			}
    		},
    		"AwsStepFunctionStateMachine": {
    			"StateMachineArn": "string",
    			"Name": "string",
    			"Status": "string",
    			"RoleArn": "string",
    			"Type": "string",
    			"LoggingConfiguration": {
    				"Level": "string",
    				"IncludeExecutionData": boolean
    			},
    			"TracingConfiguration": {
    				"Enabled": boolean
    			}
    		},
    		"AwsWafRateBasedRule": {
    			"MatchPredicates": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"MetricName": "string",
    			"Name": "string",
    			"RateKey": "string",
    			"RateLimit": number,
    			"RuleId": "string"
    		},
    		"AwsWafRegionalRateBasedRule": {
    			"MatchPredicates": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"MetricName": "string",
    			"Name": "string",
    			"RateKey": "string",
    			"RateLimit": number,
    			"RuleId": "string"
    		},
    		"AwsWafRegionalRule": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleId": "string",
    			"PredicateList": [{
        			"DataId": "string",
        			"Negated": boolean,
        			"Type": "string"
    			}]
    		},
    		"AwsWafRegionalRuleGroup": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleGroupId": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}]
    		},
    		"AwsWafRegionalWebAcl": {
    			"DefaultAction": "string",
    			"MetricName" : "string",
    			"Name": "string",
    			"RulesList" : [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string",
    				"ExcludedRules": [{
    					"ExclusionType": "string",
    					"RuleId": "string"
    				}],
    				"OverrideAction": {
    					"Type": "string"
    				}
    			}],
    			"WebAclId": "string"
    		},
    		"AwsWafRule": {
    			"MetricName": "string",
    			"Name": "string",
    			"PredicateList": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"RuleId": "string"
    		},
    		"AwsWafRuleGroup": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleGroupId": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}]
    		},
    		"AwsWafv2RuleGroup": {
    			"Arn": "string",
    			"Capacity": number,
    			"Description": "string",
    			"Id": "string",
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    				"Allow": {
    					"CustomRequestHandling": {
    						"InsertHeaders": [
    							{
    							"Name": "string",
    							"Value": "string"
    							},
    							{
    							"Name": "string",
    							"Value": "string"
    							}
    						]
    					}
    				}
    				},
    				"Name": "string",
    				"Priority": number,
    				"VisibilityConfig": {
    					"CloudWatchMetricsEnabled": boolean,
    					"MetricName": "string",
    					"SampledRequestsEnabled": boolean
    				}
    			}],
    			"VisibilityConfig": {
    				"CloudWatchMetricsEnabled": boolean,
    				"MetricName": "string",
    				"SampledRequestsEnabled": boolean
    			}
    		},
    		"AwsWafWebAcl": {
    			"DefaultAction": "string",
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"ExcludedRules": [{
    					"RuleId": "string"
    				}],
    				"OverrideAction": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}],
    			"WebAclId": "string"
    		},
    		"AwsWafv2WebAcl": {
    			"Arn": "string",
    			"Capacity": number,
    			"CaptchaConfig": {
    				"ImmunityTimeProperty": {
    					"ImmunityTime": number
    				}
    			},
    			"DefaultAction": {
    				"Block": {}
    			},
    			"Description": "string",
    			"ManagedbyFirewallManager": boolean,
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    					"RuleAction": {
    						"Block": {}
    					}
    				},
    				"Name": "string",
    				"Priority": number,
    				"VisibilityConfig": {
    					"SampledRequestsEnabled": boolean,
    					"CloudWatchMetricsEnabled": boolean,
    					"MetricName": "string"
    				}
    			}],
    			"VisibilityConfig": {
    				"SampledRequestsEnabled": boolean,
    				"CloudWatchMetricsEnabled": boolean,
    				"MetricName": "string"
    			}
    		},
    		"AwsXrayEncryptionConfig": {
    			"KeyId": "string",
    			"Status": "string",
    			"Type": "string"
    		},
    		"CodeRepository": {
    			"CodeSecurityIntegrationArn": "string",
    			"ProjectName": "string",
    			"ProviderType": "string"
    		},
    		"Container": {
    			"ContainerRuntime": "string",
    			"ImageId": "string",
    			"ImageName": "string",
    			"LaunchedAt": "string",
    			"Name": "string",
    			"Privileged": boolean,
    			"VolumeMounts": [{
    				"Name": "string",
    				"MountPath": "string"
    			}]
    		}, 
    		"Other": {
    			"string": "string"
    		},
    		"Id": "string",
    		"Partition": "string",
    		"Region": "string",
    		"ResourceRole": "string",
    		"Tags": {
    			"string": "string"
    		},
    		"Type": "string"
    	}],
    	"SchemaVersion": "string",
    	"Severity": {
    		"Label": "string",
    		"Normalized": number,
    		"Original": "string"
    	},
    	"Sample": boolean,
    	"SourceUrl": "string",
    	"Threats": [{
    		"FilePaths": [{
    			"FileName": "string",
    			"FilePath": "string",
    			"Hash": "string",
    			"ResourceId": "string"
    		}],
    		"ItemCount": number,
    		"Name": "string",
    		"Severity": "string"
    	}],
    	"ThreatIntelIndicators": [{
    		"Category": "string",
    		"LastObservedAt": "string",
    		"Source": "string",
    		"SourceUrl": "string",
    		"Type": "string",
    		"Value": "string"
    	}],
    	"Title": "string",
    	"Types": ["string"],
    	"UpdatedAt": "string",
    	"UserDefinedFields": {
    		"string": "string"
    	},
    	"VerificationState": "string",
    	"Vulnerabilities": [{
    		"CodeVulnerabilities": [{
    			"Cwes": [
    				"string",
    				"string"
    			],
    			"FilePath": {
    				"EndLine": integer,
    				"FileName": "string",
    				"FilePath": "string",
    				"StartLine": integer
    			},
    			"SourceArn":"string"
    		}],
    		"Cvss": [{
    			"Adjustments": [{
    				"Metric": "string",
    				"Reason": "string"
    			}],
    			"BaseScore": number,
    			"BaseVector": "string",
    			"Source": "string",
    			"Version": "string"
    		}],
    		"EpssScore": number,
    		"ExploitAvailable": "string",
    		"FixAvailable": "string",
    		"Id": "string",
    		"LastKnownExploitAt": "string",
    		"ReferenceUrls": ["string"],
    		"RelatedVulnerabilities": ["string"],
    		"Vendor": {
    			"Name": "string",
    			"Url": "string",
    			"VendorCreatedAt": "string",
    			"VendorSeverity": "string",
    			"VendorUpdatedAt": "string"
    		},
    		"VulnerablePackages": [{
    			"Architecture": "string",
    			"Epoch": "string",
    			"FilePath": "string",
    			"FixedInVersion": "string",
    			"Name": "string",
    			"PackageManager": "string",
    			"Release": "string",
    			"Remediation": "string",
    			"SourceLayerArn": "string",
    			"SourceLayerHash": "string",
    			"Version": "string"
    		}]
    	}],
    	"Workflow": {
    		"Status": "string"
    	},
    	"WorkflowState": "string"
    }
]
```

# Auswirkungen der Konsolidierung auf ASFF-Felder und -Werte
<a name="asff-changes-consolidation"></a>

AWS Security Hub CSPM bietet zwei Arten der Konsolidierung von Kontrollen:
+ **Ansicht konsolidierter Kontrollen** — Bei dieser Art der Konsolidierung hat jede Kontrolle für alle Standards eine einzige Kennung. Darüber hinaus werden auf der Security Hub CSPM-Konsole auf der Seite „**Kontrollen**“ alle Kontrollen für alle Standards angezeigt. 
+ **Konsolidierte Kontrollergebnisse** — Bei dieser Art der Konsolidierung liefert Security Hub CSPM ein einziges Ergebnis für eine Kontrolle, auch wenn die Kontrolle für mehrere aktivierte Standards gilt. Dadurch kann das Störgeräusch beim Auffinden reduziert werden. 

Sie können die Ansicht der konsolidierten Steuerelemente nicht aktivieren oder deaktivieren. Consolidated Control Findings ist standardmäßig aktiviert, wenn Sie Security Hub CSPM am oder nach dem 23. Februar 2023 aktivieren. Andernfalls ist es standardmäßig deaktiviert. Für Unternehmen ist Consolidated Control Findings jedoch nur für Security Hub CSPM-Mitgliedskonten aktiviert, wenn sie für das Administratorkonto aktiviert sind. Weitere Informationen zu konsolidierten Kontrollergebnissen finden Sie unter. [Generierung und Aktualisierung von Kontrollbefunden](controls-findings-create-update.md)

Beide Konsolidierungsarten wirken sich auf Felder und Werte für Kontrollergebnisse in der aus[AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md).

**Topics**
+ [

## Ansicht konsolidierter Kontrollen — ASFF-Änderungen
](#securityhub-findings-format-consolidated-controls-view)
+ [

## Konsolidierte Kontrollergebnisse — ASFF-Änderungen
](#securityhub-findings-format-consolidated-control-findings)
+ [

## Generator IDs vor und nach der Aktivierung konsolidierter Kontrollergebnisse
](#securityhub-findings-format-changes-generator-ids)
+ [

## Wie sich die Konsolidierung auf Kontrolle und Titel auswirkt IDs
](#securityhub-findings-format-changes-ids-titles)
+ [

## Aktualisierung der Workflows für die Konsolidierung
](#securityhub-findings-format-changes-prepare)

## Ansicht konsolidierter Kontrollen — ASFF-Änderungen
<a name="securityhub-findings-format-consolidated-controls-view"></a>

Mit der Funktion zur Ansicht konsolidierter Kontrollen wurden die folgenden Änderungen an Feldern und Werten für Kontrollergebnisse in der ASFF eingeführt. Wenn Ihre Workflows nicht auf Werten für diese ASFF-Felder basieren, sind keine Maßnahmen erforderlich. Wenn Sie Workflows haben, die auf bestimmten Werten für diese Felder basieren, aktualisieren Sie Ihre Workflows, sodass sie die aktuellen Werte verwenden.


| ASFF-Feld  | Beispielwert vor Ansicht der konsolidierten Kontrollen  | Beispielwert nach Ansicht der konsolidierten Kontrollen und Beschreibung der Änderung  | 
| --- | --- | --- | 
|  Einhaltung der Vorschriften. SecurityControlId  |  Nicht zutreffend (neues Feld)  |  EC2.2 Führt eine einzige Kontroll-ID für alle Standards ein. `ProductFields.RuleId`stellt weiterhin die standardbasierte Kontroll-ID für CIS v1.2.0-Steuerelemente bereit. `ProductFields.ControlId`stellt immer noch die standardbasierte Kontroll-ID für Steuerungen in anderen Standards bereit.  | 
|  Einhaltung der Vorschriften. AssociatedStandards  |  Nicht zutreffend (neues Feld)  |  [\$1“ StandardsId „:" standards/aws-foundational-security-best-practices/v /1.0.0 „\$1] Zeigt an, in welchen Standards ein Steuerelement aktiviert ist.  | 
|  ProductFields. ArchivalReasons. ----SEP----:0/Beschreibung  |  Nicht zutreffend (neues Feld)  |  „Das Ergebnis befindet sich im Status ARCHIVIERT, da konsolidierte Kontrollergebnisse aktiviert oder deaktiviert wurden. Dies führt dazu, dass Ergebnisse im vorherigen Status archiviert werden, wenn neue Ergebnisse generiert werden.“ Beschreibt, warum Security Hub CSPM bestehende Ergebnisse archiviert hat.  | 
|  ProductFields. ArchivalReasons. ----sep----:0/ ReasonCode  |  Nicht zutreffend (neues Feld)  |  „CONSOLIDATED\$1CONTROL\$1FINDINGS\$1UPDATE“ Liefert den Grund, warum Security Hub CSPM bestehende Ergebnisse archiviert hat.  | 
|  ProductFields.RecommendationUrl  |  https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Dieses Feld verweist nicht mehr auf einen Standard.  | 
|  Abhilfe.Empfehlung.Text  |  „Anweisungen zur Behebung dieses Problems finden Sie in der AWS Security Hub CSPM PCI DSS-Dokumentation.“  |  „Anweisungen zur Behebung dieses Problems finden Sie in der Dokumentation zu den CSPM-Steuerungen von AWS Security Hub.“ Dieses Feld verweist nicht mehr auf einen Standard.  | 
|  Abhilfe.Empfehlung.Url  |  https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Dieses Feld verweist nicht mehr auf einen Standard.  | 

## Konsolidierte Kontrollergebnisse — ASFF-Änderungen
<a name="securityhub-findings-format-consolidated-control-findings"></a>

Wenn Sie konsolidierte Kontrollergebnisse aktivieren, sind Sie möglicherweise von den folgenden Änderungen an Feldern und Werten für Kontrollergebnisse im ASFF betroffen. Diese Änderungen kommen zu den Änderungen hinzu, die durch die Funktion zur Ansicht konsolidierter Kontrollen eingeführt wurden. Wenn Ihre Workflows nicht auf Werten für diese ASFF-Felder basieren, sind keine Maßnahmen erforderlich. Wenn Sie Workflows haben, die auf bestimmten Werten für diese Felder basieren, aktualisieren Sie Ihre Workflows, sodass sie die aktuellen Werte verwenden.

**Tipp**  
Wenn Sie die Lösung [Automated Security Response auf AWS Version 2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/) verwenden, beachten Sie, dass sie konsolidierte Kontrollergebnisse unterstützt. Das bedeutet, dass Sie Ihre aktuellen Workflows beibehalten können, wenn Sie konsolidierte Kontrollergebnisse aktivieren. 


| ASFF-Feld  | Beispielwert vor der Aktivierung konsolidierter Kontrollergebnisse  | Beispielwert nach der Aktivierung konsolidierter Kontrollergebnisse und Beschreibung der Änderung  | 
| --- | --- | --- | 
| GeneratorId |  aws-foundational-security-best- practices/v/1.0.0/Config 1.  |  Sicherheitskontrolle/Config.1 Dieses Feld verweist nicht mehr auf einen Standard.  | 
|  Title  |  AWS Config PCI.Config.1 sollte aktiviert sein  |  AWS Config sollte aktiviert sein Dieses Feld verweist nicht mehr auf standardspezifische Informationen.  | 
|  Id  |  arn:aws:securityhub:eu-central-1:123456789012:6d6a26-a156-48f0-9403-115983e5a956 subscription/pci-dss/v/3.2.1/PCI.IAM.5/finding/ab  |  arn:aws:securityhub:eu-central-1:123456789012:security- 6d6a26-a156-48f0-9403-115983e5a956 control/iam.9/finding/ab Dieses Feld verweist nicht mehr auf einen Standard.  | 
|  ProductFields.ControlId  |  PCI.EC2.2  |  Entfernt. Siehe `Compliance.SecurityControlId` stattdessen. Dieses Feld wurde zugunsten einer einzigen, standardunabhängigen Kontroll-ID entfernt.  | 
|  ProductFields.RuleId  |  1.3  |  Entfernt. Siehe `Compliance.SecurityControlId` stattdessen. Dieses Feld wurde zugunsten einer einzigen, standardunabhängigen Kontroll-ID entfernt.  | 
|  Description  |  Diese PCI-DSS-Steuerung prüft, ob sie im Girokonto und in der Region aktiviert AWS Config ist.  |  Diese AWS Kontrolle prüft, ob sie im Girokonto und in der Region aktiviert AWS Config ist.Dieses Feld verweist nicht mehr auf einen Standard.  | 
|  Schweregrad  |  „Schweregrad“: \$1 „Produkt“: 90, „Label“: „KRITISCH“, „Normalisiert“: 90, „Original“: „KRITISCH“ \$1  |  „Schweregrad“: \$1 „Label“: „KRITISCH“, „Normalisiert“: 90, „Original“: „KRITISCH“ \$1 Security Hub CSPM verwendet das Feld Produkt nicht mehr, um den Schweregrad eines Fehlers zu beschreiben.  | 
|  Typen  |  ["Software Checks/Industry und Konfiguration sowie behördliche Standards/PCI-DSS"]  |  ["Software und Konfiguration sowie regulatorische Standards"] Checks/Industry Dieses Feld verweist nicht mehr auf einen Standard.  | 
|  Einhaltung. RelatedRequirements  |  ["PCI DSS 10.5.2“, „PCI DSS 11.5", „CIS AWS Foundations 2.5"]  |  ["PCI DSS v3.2.1/10.5.2“, „PCI DSS v3.2.1/11,5“, „Benchmark v1.2.0/2.5" der CIS Foundations] AWS  In diesem Feld werden die entsprechenden Anforderungen in allen aktivierten Standards angezeigt.  | 
|  CreatedAt  |  2015-05-05T 08:18:13.138 Z  |  25.09.2022 08:18:13,138 Z Das Format bleibt unverändert, aber der Wert wird zurückgesetzt, wenn Sie konsolidierte Kontrollergebnisse aktivieren.  | 
|  FirstObservedAt  |  07.05.2022 08:18:13.138 Z  | 28.09.2022 08:18:13,138 Z Das Format bleibt unverändert, aber der Wert wird zurückgesetzt, wenn Sie konsolidierte Kontrollergebnisse aktivieren.  | 
|  ProductFields.RecommendationUrl  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation  |  Entfernt. Siehe `Remediation.Recommendation.Url` stattdessen. | 
|  ProductFields.StandardsArn  |  arn:aws:securityhub::: /1.0.0 standards/aws-foundational-security-best-practices/v  |  Entfernt. Siehe `Compliance.AssociatedStandards` stattdessen.  | 
|  ProductFields.StandardsControlArn  |  arn:aws:securityhub:us-east- 1:123456789012: .1 control/aws-foundational-security-best-practices/v/1.0.0/Config  |  Entfernt. Security Hub CSPM generiert ein Ergebnis für eine standardübergreifende Sicherheitsüberprüfung.  | 
|  ProductFields.StandardsGuideArn  |  arn:aws:securityhub::: /1.2.0 ruleset/cis-aws-foundations-benchmark/v  |  Entfernt. Siehe `Compliance.AssociatedStandards` stattdessen.  | 
|  ProductFields.StandardsGuideSubscriptionArn  |  arn:aws:securityhub:us-east- 2:123456789012: /1.2.0 subscription/cis-aws-foundations-benchmark/v  |  Entfernt. Security Hub CSPM generiert ein Ergebnis für eine standardübergreifende Sicherheitsüberprüfung.  | 
|  ProductFields.StandardsSubscriptionArn  |  arn:aws:securityhub:us-east- 1:123456789012: /1.0.0 subscription/aws-foundational-security-best-practices/v  |  Entfernt. Security Hub CSPM generiert ein Ergebnis für eine standardübergreifende Sicherheitsüberprüfung.  | 
|  ProductFields.aws/securityhub/FindingId  |  arn:aws:securityhub:us-east-1:: /751c2173-7372-4e12-8656-a5210dfb1d67 product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/Config.1/finding  |  arn:aws:securityhub:us-east-1:: /751c2173-7372-4e12-8656-a5210dfb1d67 product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/Config.1/finding  Dieses Feld verweist nicht mehr auf einen Standard.  | 

### Werte für vom Kunden bereitgestellte ASFF-Felder nach Aktivierung der konsolidierten Kontrollergebnisse
<a name="consolidated-controls-view-customer-provided-values"></a>

Wenn Sie konsolidierte Kontrollergebnisse aktivieren, generiert Security Hub CSPM ein standardübergreifendes Ergebnis und archiviert die ursprünglichen Ergebnisse (separate Ergebnisse für jeden Standard).

Aktualisierungen, die Sie mit der Security Hub CSPM-Konsole oder dem [https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html)Vorgang an den ursprünglichen Ergebnissen vorgenommen haben, werden in den neuen Ergebnissen nicht beibehalten. Bei Bedarf können Sie diese Daten wiederherstellen, indem Sie auf die archivierten Ergebnisse zurückgreifen. **Um archivierte Ergebnisse zu überprüfen, können Sie die Seite **Ergebnisse** in der Security Hub CSPM-Konsole verwenden und den Filter **Datensatzstatus** auf ARCHIVIERT setzen.** Alternativ können Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)Betrieb der Security Hub CSPM-API verwenden.


| Vom Kunden bereitgestelltes ASFF-Feld  | Beschreibung der Änderung nach der Aktivierung der konsolidierten Kontrollergebnisse  | 
| --- | --- | 
|  Wahrscheinlichkeit  |  Setzt auf den leeren Zustand zurück.  | 
|  Kritikalität  |  Setzt auf den leeren Zustand zurück.  | 
|  Hinweis  |  Setzt auf den leeren Zustand zurück.  | 
|  RelatedFindings  |  Setzt auf den leeren Zustand zurück.  | 
|  Schweregrad  |  Standardschweregrad des Ergebnisses (entspricht dem Schweregrad der Kontrolle).  | 
|  Typen  |  Wird auf den standardunabhängigen Wert zurückgesetzt.  | 
|  UserDefinedFields  |  Setzt auf den leeren Zustand zurück.  | 
|  VerificationState  |  Setzt auf den leeren Zustand zurück.  | 
|  Workflow  |  Neue fehlgeschlagene Ergebnisse haben einen Standardwert von. NEW Neue bestandene Ergebnisse haben einen Standardwert vonRESOLVED.  | 

## Generator IDs vor und nach der Aktivierung konsolidierter Kontrollergebnisse
<a name="securityhub-findings-format-changes-generator-ids"></a>

In der folgenden Tabelle sind Änderungen an den Generator-ID-Werten für Kontrollen aufgeführt, wenn Sie konsolidierte Kontrollergebnisse aktivieren. Diese Änderungen gelten für Kontrollen, die Security Hub CSPM am 15. Februar 2023 unterstützt hat.


| GeneratorID vor der Aktivierung konsolidierter Kontrollergebnisse | GeneratorID nach der Aktivierung konsolidierter Kontrollergebnisse | 
| --- | --- | 
|  arn:aws:securityhub::: /1.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch 1.  | 
|  arn:aws:securityhub::: /1.10 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.16  | 
|  arn:aws:securityhub::: /1.11 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.17  | 
|  arn:aws:securityhub::: /1.12 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.4  | 
|  arn:aws:securityhub::: /1.13 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.9  | 
|  arn:aws:securityhub::: /1.14 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.6  | 
|  arn:aws:securityhub::: /1.16 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.2  | 
|  arn:aws:securityhub::: /1.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.5  | 
|  arn:aws:securityhub::: /1.20 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.18  | 
|  arn:aws:securityhub::: /1.22 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.1  | 
|  arn:aws:securityhub::: /1.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.8  | 
|  arn:aws:securityhub::: /1.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.3  | 
|  arn:aws:securityhub::: /1.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.11  | 
|  arn:aws:securityhub::: /1.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.12  | 
|  arn:aws:securityhub::: /1.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.13  | 
|  arn:aws:securityhub::: /1.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.14  | 
|  arn:aws:securityhub::: /1.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/IAM.15  | 
|  arn:aws:securityhub::: /2.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudTrail 1.  | 
|  arn:aws:securityhub::: /2.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudTrail .4  | 
|  arn:aws:securityhub::: /2.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudTrail .6  | 
|  arn:aws:securityhub::: /2.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudTrail 1.5  | 
|  arn:aws:securityhub::: /2.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/Config.1  | 
|  arn:aws:securityhub::: /2.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudTrail .7  | 
|  arn:aws:securityhub::: /2.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudTrail 2.  | 
|  arn:aws:securityhub::: /2.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/KMS.4  | 
|  arn:aws:securityhub::: /2.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/EC2.6  | 
|  arn:aws:securityhub::: /3.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch 2.  | 
|  arn:aws:securityhub::: /3.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch 3.  | 
|  arn:aws:securityhub::: /3.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch 1.  | 
|  arn:aws:securityhub::: /3.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch .4  | 
|  arn:aws:securityhub::: /3.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch 3.5  | 
|  arn:aws:securityhub::: /3.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch .6  | 
|  arn:aws:securityhub::: /3.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch .7  | 
|  arn:aws:securityhub::: /3.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch .8  | 
|  arn:aws:securityhub::: /3.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch .9  | 
|  arn:aws:securityhub::: /3.10 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch 1.0  | 
|  arn:aws:securityhub::: /3.11 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch .11  | 
|  arn:aws:securityhub::: /3.12 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch 1.2  | 
|  arn:aws:securityhub::: /3.13 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch 1.3  | 
|  arn:aws:securityhub::: /3.14 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/ CloudWatch 1.4  | 
|  arn:aws:securityhub::: /4.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/EC2.13  | 
|  arn:aws:securityhub::: /4.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/EC2.14  | 
|  arn:aws:securityhub::: /4.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Sicherheitskontrolle/EC2.2  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.10  |  Sicherheitskontrolle/IAM.5  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.14  |  Sicherheitskontrolle/IAM.3  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.16  |  Sicherheitskontrolle/IAM.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.17  |  Sicherheitskontrolle/IAM.18  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.4  |  Sicherheitskontrolle/IAM.4  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.5  |  Sicherheitskontrolle/IAM.9  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.6  |  Sicherheitskontrolle/IAM.6  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.7  |  Sicherheitskontrolle/ 1. CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.8  |  Sicherheitskontrolle/IAM.15  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.9  |  Sicherheitskontrolle/IAM.16  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.2  |  Sicherheitskontrolle/S3.5  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.5.1  |  Sicherheitskontrolle/S3.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.5.2  |  Sicherheitskontrolle/S3.8  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.2.1  |  Sicherheitskontrolle/EC2.7  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.3.1  |  Sicherheitskontrolle/RDS.3  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.1  |  Sicherheitskontrolle/ 1. CloudTrail  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.2  |  Sicherheitskontrolle/ .4 CloudTrail  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.4  |  Sicherheitskontrolle/ .5 CloudTrail  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.5  |  Sicherheitskontrolle/Config.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.6  |  Sicherheitskontrolle/S3.9  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.7  |  Sicherheitskontrolle/ .2 CloudTrail  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.8  |  Sicherheitskontrolle/KMS.4  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.9  |  Sicherheitskontrolle/EC2.6  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.3  |  Sicherheitskontrolle/ 1. CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.4  |  Sicherheitskontrolle/ .4 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.5  |  Sicherheitskontrolle/ 4.5 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.6  |  Sicherheitskontrolle/ .6 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.7  |  Sicherheitskontrolle/ .7 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.8  |  Sicherheitskontrolle/ .8 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.9  |  Sicherheitskontrolle/ .9 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.10  |  Sicherheitskontrolle/ 1.0 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.11  |  Sicherheitskontrolle/ 1.1 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4,12  |  Sicherheitskontrolle/ 1.2 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.13  |  Sicherheitskontrolle/ 1.3 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.14  |  Sicherheitskontrolle/ 1.4 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/5.1  |  Sicherheitskontrolle/EC2.21  | 
|  cis-aws-foundations-benchmark/v/1.4.0/5.3  |  Sicherheitskontrolle/EC2.2  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/Account  |  Sicherheitskontrolle/Konto.1  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/ACM  |  Sicherheitskontrolle/ACM.1  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/APIGateway  |  Sicherheitskontrolle/ .1 APIGateway  | 
|  aws-foundational-security-best- practices/v/1.0.0/APIGateway 2.  |  Sicherheitskontrolle/ .2 APIGateway  | 
|  aws-foundational-security-best- practices/v/1.0.0/APIGateway 3.  |  Sicherheitskontrolle/ .3 APIGateway  | 
|  aws-foundational-security-best- practices/v/1.0.0/APIGateway 4.  |  Sicherheitskontrolle/ .4 APIGateway  | 
|  aws-foundational-security-best-practices/v/1.0.0/APIGateway.  |  Sicherheitskontrolle/ .5 APIGateway  | 
|  aws-foundational-security-best-practices/v/1.0.0/APIGateway.  |  Sicherheitskontrolle/ .8 APIGateway  | 
|  aws-foundational-security-best- practices/v/1.0.0/APIGateway 9.  |  Sicherheitskontrolle/ .9 APIGateway  | 
|  aws-foundational-security-best- practices/v/1.0.0/AutoScaling 1.  |  Sicherheitskontrolle/ .1 AutoScaling  | 
|  aws-foundational-security-best- practices/v/1.0.0/AutoScaling 2.  |  Sicherheitskontrolle/ .2 AutoScaling  | 
|  aws-foundational-security-best- practices/v/1.0.0/AutoScaling 3.  |  Sicherheitskontrolle/ .3 AutoScaling  | 
|  aws-foundational-security-best- practices/v/1.0.0/Autoscaling 5.  |  Sicherheitskontrolle/Autoscaling.5  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/AutoScaling  |  Sicherheitskontrolle/ .6 AutoScaling  | 
|  aws-foundational-security-best- practices/v/1.0.0/AutoScaling 9.  |  Sicherheitskontrolle/ .9 AutoScaling  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront 1.  |  Sicherheitskontrolle/ .1 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront 3.  |  Sicherheitskontrolle/ .3 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront 4.  |  Sicherheitskontrolle/ .4 CloudFront  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudFront.  |  Sicherheitskontrolle/ .5 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront 6.  |  Sicherheitskontrolle/ .6 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront 7.  |  Sicherheitskontrolle/ .7 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront 8.  |  Sicherheitskontrolle/ .8 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront 9.  |  Sicherheitskontrolle/ .9 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront 1,0  |  Sicherheitskontrolle/ .10 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront 1.2  |  Sicherheitskontrolle/ .12 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudTrail 1.  |  Sicherheitskontrolle/ .1 CloudTrail  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudTrail 2.  |  Sicherheitskontrolle/ .2 CloudTrail  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudTrail 4.  |  Sicherheitskontrolle/ .4 CloudTrail  | 
|  aws-foundational-security-best-practices/v/1.0.0/CloudTrail.  |  Sicherheitskontrolle/ .5 CloudTrail  | 
|  aws-foundational-security-best- practices/v/1.0.0/CodeBuild 1.  |  Sicherheitskontrolle/ .1 CodeBuild  | 
|  aws-foundational-security-best- practices/v/1.0.0/CodeBuild 2.  |  Sicherheitskontrolle/ .2 CodeBuild  | 
|  aws-foundational-security-best- practices/v/1.0.0/CodeBuild 3.  |  Sicherheitskontrolle/ .3 CodeBuild  | 
|  aws-foundational-security-best- practices/v/1.0.0/CodeBuild 4.  |  Sicherheitskontrolle/ .4CodeBuild.  | 
|  aws-foundational-security-best- practices/v/1.0.0/Config 1.  |  Sicherheitskontrolle/Config.1  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/DMS  |  Sicherheitskontrolle/DMS.1  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/DynamoDB  |  Sicherheitskontrolle/DynamoDB.1  | 
|  aws-foundational-security-best- 1.2 practices/v/1.0.0/DynamoDB  |  Sicherheitskontrolle/DynamoDB.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/DynamoDB  |  Sicherheitskontrolle/DynamoDB.3  | 
|  aws-foundational-security-best- 2.1 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.1  | 
|  aws-foundational-security-best- 2.3 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.3  | 
|  aws-foundational-security-best- 2.4 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.4  | 
|  aws-foundational-security-best- 2.6 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.6  | 
|  aws-foundational-security-best- 2.7 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.7  | 
|  aws-foundational-security-best- 2.8 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.8  | 
|  aws-foundational-security-best- 2.9 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.9  | 
|  aws-foundational-security-best- 2.10 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.10  | 
|  aws-foundational-security-best- 2.15 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.15  | 
|  aws-foundational-security-best- 2.16 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.16  | 
|  aws-foundational-security-best- 2.17 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.17  | 
|  aws-foundational-security-best- 2.18 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.18  | 
|  aws-foundational-security-best- 2,19 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.19  | 
|  aws-foundational-security-best- 2.2 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.2  | 
|  aws-foundational-security-best- 2,20 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.20  | 
|  aws-foundational-security-best- 2,21 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.21  | 
|  aws-foundational-security-best- 2.23 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.23  | 
|  aws-foundational-security-best- 2,24 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.24  | 
|  aws-foundational-security-best- 2,25 practices/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.25  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/ECR  |  Sicherheitskontrolle/ECR.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/ECR  |  Sicherheitskontrolle/ECR.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/ECR  |  Sicherheitskontrolle/ECR.3  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.1  | 
|  aws-foundational-security-best- 1.0 practices/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.10  | 
|  aws-foundational-security-best- 1.2 practices/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.12  | 
|  aws-foundational-security-best- 1.2 practices/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.4  | 
|  aws-foundational-security-best- 5. practices/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.5  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.8  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/EFS  |  Sicherheitskontrolle/EFS.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/EFS  |  Sicherheitskontrolle/EFS.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/EFS  |  Sicherheitskontrolle/EFS.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/EFS  |  Sicherheitskontrolle/EFS.4  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/EKS  |  Sicherheitskontrolle/EKS.2  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/ElasticBeanstalk  |  Sicherheitskontrolle/ .1 ElasticBeanstalk  | 
|  aws-foundational-security-best- practices/v/1.0.0/ElasticBeanstalk 2.  |  Sicherheitskontrolle/ .2 ElasticBeanstalk  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELBv 2.1  |  Sicherheitskontrolle/ELB.1  | 
|  aws-foundational-security-best- 2.2 practices/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.4  | 
|  aws-foundational-security-best- 5. practices/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.5  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.6  | 
|  aws-foundational-security-best- 7. practices/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.7  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.8  | 
|  aws-foundational-security-best- 9. practices/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.9  | 
|  aws-foundational-security-best- 1.0 practices/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.10  | 
|  aws-foundational-security-best- 1.1 practices/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.11  | 
|  aws-foundational-security-best- 1.2 practices/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.12  | 
|  aws-foundational-security-best- 1.3 practices/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.13  | 
|  aws-foundational-security-best- 1.4 practices/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.14  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/EMR  |  Sicherheitskontrolle/EMR.1  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/ES  |  Sicherheitskontrolle/ES.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/ES  |  Sicherheitskontrolle/ES.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/ES  |  Sicherheitskontrolle/ES.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/ES  |  Sicherheitskontrolle/ES.4  | 
|  aws-foundational-security-best- 5. practices/v/1.0.0/ES  |  Sicherheitskontrolle/ES.5  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/ES  |  Sicherheitskontrolle/ES.6  | 
|  aws-foundational-security-best- 7. practices/v/1.0.0/ES  |  Sicherheitskontrolle/ES.7  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/ES  |  Sicherheitskontrolle/ES.8  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/GuardDuty  |  Sicherheitskontrolle/ .1 GuardDuty  | 
|  aws-foundational-security-best- practices/v/1.0.0/IAM 1.  |  Sicherheitskontrolle/IAM.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.2  | 
|  aws-foundational-security-best- 2.1 practices/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.21  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.4  | 
|  aws-foundational-security-best- 5. practices/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.5  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.6  | 
|  aws-foundational-security-best- 7. practices/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.7  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.8  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/Kinesis  |  Sicherheitskontrolle/Kinesis.1  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/KMS  |  Sicherheitskontrolle/KMS.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/KMS  |  Sicherheitskontrolle/KMS.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/KMS  |  Sicherheitskontrolle/KMS.3  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/Lambda  |  Sicherheitskontrolle/Lambda.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/Lambda  |  Sicherheitskontrolle/Lambda.2  | 
|  aws-foundational-security-best- 5. practices/v/1.0.0/Lambda  |  Sicherheitskontrolle/Lambda.5  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/NetworkFirewall  |  Sicherheitskontrolle/ .3 NetworkFirewall  | 
|  aws-foundational-security-best- practices/v/1.0.0/NetworkFirewall 4.  |  Sicherheitskontrolle/ .4NetworkFirewall.  | 
|  aws-foundational-security-best- practices/v/1.0.0/NetworkFirewall 5.  |  Sicherheitskontrolle/ .5 NetworkFirewall  | 
|  aws-foundational-security-best- practices/v/1.0.0/NetworkFirewall 6.  |  Sicherheitskontrolle/ .6 NetworkFirewall  | 
|  aws-foundational-security-best- practices/v/1.0.0/Opensearch 1.  |  Sicherheitskontrolle/OpenSearch.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/Opensearch  |  Sicherheitskontrolle/OpenSearch.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/Opensearch  |  Sicherheitskontrolle/OpenSearch.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/Opensearch  |  Sicherheitskontrolle/OpenSearch.4  | 
|  aws-foundational-security-best- 5. practices/v/1.0.0/Opensearch  |  Sicherheitskontrolle/OpenSearch.5  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/Opensearch  |  Sicherheitskontrolle/OpenSearch.6  | 
|  aws-foundational-security-best- 7. practices/v/1.0.0/Opensearch  |  Sicherheitskontrolle/OpenSearch.7  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/Opensearch  |  Sicherheitskontrolle/OpenSearch.8  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.1  | 
|  aws-foundational-security-best- 1.0 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.10  | 
|  aws-foundational-security-best- 1.1 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.11  | 
|  aws-foundational-security-best- 1.2 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.12  | 
|  aws-foundational-security-best- 1.3 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.13  | 
|  aws-foundational-security-best- 1.4 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.14  | 
|  aws-foundational-security-best- 1.5 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.15  | 
|  aws-foundational-security-best- 1.6 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.16  | 
|  aws-foundational-security-best- 1.7 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.17  | 
|  aws-foundational-security-best- 1.9 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.19  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.2  | 
|  aws-foundational-security-best- 2.0 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.20  | 
|  aws-foundational-security-best- 2.1 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.21  | 
|  aws-foundational-security-best- 2.2 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.22  | 
|  aws-foundational-security-best- 2.3 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.23  | 
|  aws-foundational-security-best- 2.4 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.24  | 
|  aws-foundational-security-best- 2.5 practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.25  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.4  | 
|  aws-foundational-security-best- 5. practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.5  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.6  | 
|  aws-foundational-security-best- 7. practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.7  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.8  | 
|  aws-foundational-security-best- 9. practices/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.9  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/Redshift  |  Sicherheitskontrolle/RedShift.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/Redshift  |  Sicherheitssteuerung/RedShift.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/Redshift  |  Sicherheitskontrolle/RedShift.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/Redshift  |  Sicherheitssteuerung/RedShift.4  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/Redshift  |  Sicherheitssteuerung/RedShift.6  | 
|  aws-foundational-security-best- 7. practices/v/1.0.0/Redshift  |  Sicherheitssteuerung/RedShift.7  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/Redshift  |  Sicherheitssteuerung/RedShift.8  | 
|  aws-foundational-security-best- 9. practices/v/1.0.0/Redshift  |  Sicherheitssteuerung/RedShift.9  | 
|  aws-foundational-security-best- 3.1 practices/v/1.0.0/S  |  Sicherheitskontrolle/S3.1  | 
|  aws-foundational-security-best- 3.12 practices/v/1.0.0/S  |  Sicherheitskontrolle/S3.12  | 
|  aws-foundational-security-best- 3.13 practices/v/1.0.0/S  |  Sicherheitskontrolle/S3.13  | 
|  aws-foundational-security-best- 3.2 practices/v/1.0.0/S  |  Sicherheitskontrolle/S3.2  | 
|  aws-foundational-security-best- 3.3 practices/v/1.0.0/S  |  Sicherheitskontrolle/S3.3  | 
|  aws-foundational-security-best- 3.5 practices/v/1.0.0/S  |  Sicherheitskontrolle/S3.5  | 
|  aws-foundational-security-best- 3.6 practices/v/1.0.0/S  |  Sicherheitskontrolle/S3.6  | 
|  aws-foundational-security-best- 3.8 practices/v/1.0.0/S  |  Sicherheitskontrolle/S3.8  | 
|  aws-foundational-security-best- 3.9 practices/v/1.0.0/S  |  Sicherheitskontrolle/3.9  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/SageMaker  |  Sicherheitskontrolle/ .1 SageMaker  | 
|  aws-foundational-security-best- practices/v/1.0.0/SageMaker 2.  |  Sicherheitskontrolle/ .2 SageMaker  | 
|  aws-foundational-security-best- practices/v/1.0.0/SageMaker 3.  |  Sicherheitskontrolle/ .3 SageMaker  | 
|  aws-foundational-security-best- practices/v/1.0.0/SecretsManager 1.  |  Sicherheitskontrolle/ .1 SecretsManager  | 
|  aws-foundational-security-best- practices/v/1.0.0/SecretsManager 2.  |  Sicherheitskontrolle/ .2 SecretsManager  | 
|  aws-foundational-security-best- practices/v/1.0.0/SecretsManager 3.  |  Sicherheitskontrolle/ .3 SecretsManager  | 
|  aws-foundational-security-best- practices/v/1.0.0/SecretsManager 4.  |  Sicherheitskontrolle/ .4SecretsManager.  | 
|  aws-foundational-security-best- practices/v/1.0.0/SQS 1.  |  Sicherheitskontrolle/SQS.1  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/SSM  |  Sicherheitskontrolle/SSM.1  | 
|  aws-foundational-security-best- 1.2 practices/v/1.0.0/SSM  |  Sicherheitskontrolle/SSM.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/SSM  |  Sicherheitskontrolle/SSM.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/SSM  |  Sicherheitskontrolle/SSM.4  | 
|  aws-foundational-security-best- 1. practices/v/1.0.0/WAF  |  Sicherheitskontrolle/WAF.1  | 
|  aws-foundational-security-best- 2. practices/v/1.0.0/WAF  |  Sicherheitskontrolle/WAF.2  | 
|  aws-foundational-security-best- 3. practices/v/1.0.0/WAF  |  Sicherheitskontrolle/WAF.3  | 
|  aws-foundational-security-best- 4. practices/v/1.0.0/WAF  |  Sicherheitskontrolle/WAF.4  | 
|  aws-foundational-security-best- 6. practices/v/1.0.0/WAF  |  Sicherheitskontrolle/WAF.6  | 
|  aws-foundational-security-best- 7. practices/v/1.0.0/WAF  |  Sicherheitskontrolle/WAF.7  | 
|  aws-foundational-security-best- 8. practices/v/1.0.0/WAF  |  Sicherheitskontrolle/WAF.8  | 
|  aws-foundational-security-best- 1.0 practices/v/1.0.0/WAF  |  Sicherheitskontrolle/WAF.10  | 
|  pci-. dss/v/3.2.1/PCI AutoScaling1.  |  Sicherheitskontrolle/ .1 AutoScaling  | 
|  pci-. dss/v/3.2.1/PCI CloudTrail1.  |  Sicherheitskontrolle/ .2 CloudTrail  | 
|  pci-. dss/v/3.2.1/PCI CloudTrail2.  |  Sicherheitskontrolle/ .3 CloudTrail  | 
|  pci-. dss/v/3.2.1/PCI CloudTrail3.  |  Sicherheitskontrolle/. 4 CloudTrail  | 
|  pci-. dss/v/3.2.1/PCI CloudTrail4.  |  Sicherheitskontrolle/ .5 CloudTrail  | 
|  pci-. dss/v/3.2.1/PCI CodeBuild1.  |  Sicherheitskontrolle/ .1 CodeBuild  | 
|  pci-. dss/v/3.2.1/PCI CodeBuild2.  |  Sicherheitskontrolle/ .2 CodeBuild  | 
|  pci- dss/v/3.2.1/PCI .Config.1  |  Sicherheitskontrolle/Config.1  | 
|  pci- CW.1 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/ 1. CloudWatch  | 
|  pci-D.MS.1 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/DMS.1  | 
|  pci-E.C2.1 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/EC2.1  | 
|  pci-E.C2.2 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/EC2.2  | 
|  PCI-EC2.4 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/EC2.12  | 
|  PCI-EC2.5 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/EC2.13  | 
|  pci-.EC2.6 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/EC2.6  | 
|  pci-. dss/v/3.2.1/PCI ELBv21.  |  Sicherheitskontrolle/ELB.1  | 
|  pci-.ES.1 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/ES.2  | 
|  pci-.ES.2 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/ES.1  | 
|  pci-. dss/v/3.2.1/PCI GuardDuty1.  |  Sicherheitskontrolle/ .1 GuardDuty  | 
|  pci-I.AM.1 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/IAM.4  | 
|  pci-.IAM.2 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/IAM.2  | 
|  pci-.IAM.3 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/IAM.1  | 
|  pci- .IAM.4 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/IAM.6  | 
|  pci-.IAM.5 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/IAM.9  | 
|  pci-.IAM.6 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/IAM.19  | 
|  pci-.IAM.7 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/IAM.8  | 
|  pci-.IAM.8 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/IAM.10  | 
|  pci- M.S.1 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/KMS.4  | 
|  dss/v/3.2.1/PCIpci-.Lambda.1  |  Sicherheitskontrolle/Lambda.1  | 
|  pci-. dss/v/3.2.1/PCI Lambda.2  |  Sicherheitskontrolle/Lambda.3  | 
|  pci-. Suche öffnen.1 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/OpenSearch.2  | 
|  pci-. Opensearch.2 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/OpenSearch.1  | 
|  pci- .RDS.1 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/RDS.1  | 
|  pci- RDS.2 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/RDS.2  | 
|  pci-. dss/v/3.2.1/PCI Redshift.1  |  Sicherheitskontrolle/RedShift.1  | 
|  pci-S 3.1 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/S3.3  | 
|  pci-S 3.2 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/S3.2  | 
|  pci-S 3.3 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/S3.7  | 
|  pci-S 3.5 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/S3.5  | 
|  pci-S 3.6 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/S3.1  | 
|  pci-. dss/v/3.2.1/PCI SageMaker1.  |  Sicherheitskontrolle/ .1 SageMaker  | 
|  pci-S.SM.1 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/SSM.2  | 
|  pci-SSM.2 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/SSM.3  | 
|  pci-.SSM.3 dss/v/3.2.1/PCI  |  Sicherheitskontrolle/SSM.1  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/ACM  |  Sicherheitskontrolle/ACM.1  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/APIGateway  |  Sicherheitskontrolle/ .1 APIGateway  | 
|  service-managed-aws-control- tower/v/1.0.0/APIGateway 2.  |  Sicherheitskontrolle/ .2 APIGateway  | 
|  service-managed-aws-control- tower/v/1.0.0/APIGateway 3.  |  Sicherheitskontrolle/ .3 APIGateway  | 
|  service-managed-aws-control- tower/v/1.0.0/APIGateway 4.  |  Sicherheitskontrolle/ .4APIGateway.  | 
|  service-managed-aws-control- tower/v/1.0.0/APIGateway 5.  |  Sicherheitskontrolle/ .5 APIGateway  | 
|  service-managed-aws-control- tower/v/1.0.0/AutoScaling 1.  |  Sicherheitskontrolle/ .1 AutoScaling  | 
|  service-managed-aws-control- tower/v/1.0.0/AutoScaling 2.  |  Sicherheitskontrolle/ .2 AutoScaling  | 
|  service-managed-aws-control- tower/v/1.0.0/AutoScaling 3.  |  Sicherheitskontrolle/ .3 AutoScaling  | 
|  service-managed-aws-control- tower/v/1.0.0/AutoScaling 4.  |  Sicherheitskontrolle/ .4AutoScaling.  | 
|  service-managed-aws-control- tower/v/1.0.0/Autoscaling 5.  |  Sicherheitskontrolle/Autoscaling.5  | 
|  service-managed-aws-control- 6. tower/v/1.0.0/AutoScaling  |  Sicherheitskontrolle/ .6 AutoScaling  | 
|  service-managed-aws-control- tower/v/1.0.0/AutoScaling 9.  |  Sicherheitskontrolle/ .9AutoScaling.  | 
|  service-managed-aws-control- tower/v/1.0.0/CloudTrail 1.  |  Sicherheitskontrolle/ .1 CloudTrail  | 
|  service-managed-aws-control- tower/v/1.0.0/CloudTrail 2.  |  Sicherheitskontrolle/ .2 CloudTrail  | 
|  service-managed-aws-control- tower/v/1.0.0/CloudTrail 4.  |  Sicherheitskontrolle/ .4CloudTrail.  | 
|  service-managed-aws-control- tower/v/1.0.0/CloudTrail 5.  |  Sicherheitskontrolle/ .5 CloudTrail  | 
|  service-managed-aws-control- tower/v/1.0.0/CodeBuild 1.  |  Sicherheitskontrolle/ .1 CodeBuild  | 
|  service-managed-aws-control- tower/v/1.0.0/CodeBuild 2.  |  Sicherheitskontrolle/ .2 CodeBuild  | 
|  service-managed-aws-control- tower/v/1.0.0/CodeBuild 4.  |  Sicherheitskontrolle/ .4 CodeBuild  | 
|  service-managed-aws-control-tower/v/1.0.0/CodeBuild.  |  Sicherheitskontrolle/ .5 CodeBuild  | 
|  service-managed-aws-control- tower/v/1.0.0/DMS 1.  |  Sicherheitskontrolle/DMS.1  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/DynamoDB  |  Sicherheitskontrolle/DynamoDB.1  | 
|  service-managed-aws-control- 1.2 tower/v/1.0.0/DynamoDB  |  Sicherheitskontrolle/DynamoDB.2  | 
|  service-managed-aws-control- 2.1 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.1  | 
|  service-managed-aws-control- 2.2 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.2  | 
|  service-managed-aws-control- 2.3 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.3  | 
|  service-managed-aws-control- 2.4 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.4  | 
|  service-managed-aws-control- 2.6 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.6  | 
|  service-managed-aws-control- 2.7 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.7  | 
|  service-managed-aws-control- 2.8 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.8  | 
|  service-managed-aws-control- 2.9 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.9  | 
|  service-managed-aws-control- 2.10 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.10  | 
|  service-managed-aws-control- 2.15 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.15  | 
|  service-managed-aws-control- 2.16 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.16  | 
|  service-managed-aws-control- 2.17 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.17  | 
|  service-managed-aws-control- 2.18 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.18  | 
|  service-managed-aws-control- 2,19 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.19  | 
|  service-managed-aws-control- 2,20 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.20  | 
|  service-managed-aws-control- 2,21 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.21  | 
|  service-managed-aws-control- 2.22 tower/v/1.0.0/EC  |  Sicherheitskontrolle/EC2.22  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/ECR  |  Sicherheitskontrolle/ECR.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/ECR  |  Sicherheitskontrolle/ECR.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/ECR  |  Sicherheitskontrolle/ECR.3  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.4  | 
|  service-managed-aws-control- 5. tower/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.5  | 
|  service-managed-aws-control- 8. tower/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.8  | 
|  service-managed-aws-control- 1.0 tower/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.10  | 
|  service-managed-aws-control- 1.2 tower/v/1.0.0/ECS  |  Sicherheitskontrolle/ECS.12  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/EFS  |  Sicherheitskontrolle/EFS.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/EFS  |  Sicherheitskontrolle/EFS.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/EFS  |  Sicherheitskontrolle/EFS.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/EFS  |  Sicherheitskontrolle/EFS.4  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/EKS  |  Sicherheitskontrolle/EKS.2  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.4  | 
|  service-managed-aws-control- 5. tower/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.5  | 
|  service-managed-aws-control- 6. tower/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.6  | 
|  service-managed-aws-control- 7. tower/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.7  | 
|  service-managed-aws-control- 8. tower/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.8  | 
|  service-managed-aws-control- 9. tower/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.9  | 
|  service-managed-aws-control- 1.0 tower/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.10  | 
|  service-managed-aws-control- 1.2 tower/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.12  | 
|  service-managed-aws-control- 1.3 tower/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.13  | 
|  service-managed-aws-control- 1.4 tower/v/1.0.0/ELB  |  Sicherheitskontrolle/ELB.14  | 
|  service-managed-aws-control- 2.1 tower/v/1.0.0/ELBv  |  Sicherheitskontrolle/ 1. ELBv2  | 
|  service-managed-aws-control- tower/v/1.0.0/EMR 1.  |  Sicherheitskontrolle/EMR.1  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/ES  |  Sicherheitskontrolle/ES.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/ES  |  Sicherheitskontrolle/ES.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/ES  |  Sicherheitskontrolle/ES.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/ES  |  Sicherheitskontrolle/ES.4  | 
|  service-managed-aws-control- 5. tower/v/1.0.0/ES  |  Sicherheitskontrolle/ES.5  | 
|  service-managed-aws-control- 6. tower/v/1.0.0/ES  |  Sicherheitskontrolle/ES.6  | 
|  service-managed-aws-control- 7. tower/v/1.0.0/ES  |  Sicherheitskontrolle/ES.7  | 
|  service-managed-aws-control- 8. tower/v/1.0.0/ES  |  Sicherheitskontrolle/ES.8  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/ElasticBeanstalk  |  Sicherheitskontrolle/ .1 ElasticBeanstalk  | 
|  service-managed-aws-control- tower/v/1.0.0/ElasticBeanstalk 2.  |  Sicherheitskontrolle/ .2 ElasticBeanstalk  | 
|  service-managed-aws-control- tower/v/1.0.0/GuardDuty 1.  |  Sicherheitskontrolle/ .1 GuardDuty  | 
|  service-managed-aws-control- tower/v/1.0.0/IAM 1.  |  Sicherheitskontrolle/IAM.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.4  | 
|  service-managed-aws-control- 5. tower/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.5  | 
|  service-managed-aws-control- 6. tower/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.6  | 
|  service-managed-aws-control- 7. tower/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.7  | 
|  service-managed-aws-control- 8. tower/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.8  | 
|  service-managed-aws-control- 2.1 tower/v/1.0.0/IAM  |  Sicherheitskontrolle/IAM.21  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/Kinesis  |  Sicherheitskontrolle/Kinesis.1  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/KMS  |  Sicherheitskontrolle/KMS.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/KMS  |  Sicherheitskontrolle/KMS.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/KMS  |  Sicherheitskontrolle/KMS.3  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/Lambda  |  Sicherheitskontrolle/Lambda.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/Lambda  |  Sicherheitskontrolle/Lambda.2  | 
|  service-managed-aws-control- 5. tower/v/1.0.0/Lambda  |  Sicherheitskontrolle/Lambda.5  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/NetworkFirewall  |  Sicherheitskontrolle/ .3 NetworkFirewall  | 
|  service-managed-aws-control- tower/v/1.0.0/NetworkFirewall 4.  |  Sicherheitskontrolle/ .4 NetworkFirewall  | 
|  service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.  |  Sicherheitskontrolle/ .5 NetworkFirewall  | 
|  service-managed-aws-control- tower/v/1.0.0/NetworkFirewall 6.  |  Sicherheitskontrolle/ .6 NetworkFirewall  | 
|  service-managed-aws-control- tower/v/1.0.0/Opensearch 1.  |  Sicherheitskontrolle/OpenSearch.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/Opensearch  |  Sicherheitskontrolle/OpenSearch.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/Opensearch  |  Sicherheitskontrolle/OpenSearch.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/Opensearch  |  Sicherheitskontrolle/OpenSearch.4  | 
|  service-managed-aws-control- 5. tower/v/1.0.0/Opensearch  |  Sicherheitskontrolle/OpenSearch.5  | 
|  service-managed-aws-control- 6. tower/v/1.0.0/Opensearch  |  Sicherheitskontrolle/OpenSearch.6  | 
|  service-managed-aws-control- 7. tower/v/1.0.0/Opensearch  |  Sicherheitskontrolle/OpenSearch.7  | 
|  service-managed-aws-control- 8. tower/v/1.0.0/Opensearch  |  Sicherheitskontrolle/OpenSearch.8  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.4  | 
|  service-managed-aws-control- 5. tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.5  | 
|  service-managed-aws-control- 6. tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.6  | 
|  service-managed-aws-control- 8. tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.8  | 
|  service-managed-aws-control- 9. tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.9  | 
|  service-managed-aws-control- 1.0 tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.10  | 
|  service-managed-aws-control- 1.1 tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.11  | 
|  service-managed-aws-control- 1.3 tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.13  | 
|  service-managed-aws-control- 1.7 tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.17  | 
|  service-managed-aws-control- 1.8 tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.18  | 
|  service-managed-aws-control- 1.9 tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.19  | 
|  service-managed-aws-control- 2.0 tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.20  | 
|  service-managed-aws-control- 2.1 tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.21  | 
|  service-managed-aws-control- 2.2 tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.22  | 
|  service-managed-aws-control- 2.3 tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.23  | 
|  service-managed-aws-control- 2.5 tower/v/1.0.0/RDS  |  Sicherheitskontrolle/RDS.25  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/Redshift  |  Sicherheitskontrolle/RedShift.1  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/Redshift  |  Sicherheitssteuerung/RedShift.2  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/Redshift  |  Sicherheitssteuerung/RedShift.4  | 
|  service-managed-aws-control- 6. tower/v/1.0.0/Redshift  |  Sicherheitssteuerung/RedShift.6  | 
|  service-managed-aws-control- 7. tower/v/1.0.0/Redshift  |  Sicherheitssteuerung/RedShift.7  | 
|  service-managed-aws-control- 8. tower/v/1.0.0/Redshift  |  Sicherheitssteuerung/RedShift.8  | 
|  service-managed-aws-control- 9. tower/v/1.0.0/Redshift  |  Sicherheitssteuerung/RedShift.9  | 
|  service-managed-aws-control- 3.1 tower/v/1.0.0/S  |  Sicherheitskontrolle/S3.1  | 
|  service-managed-aws-control- 3.2 tower/v/1.0.0/S  |  Sicherheitskontrolle/S3.2  | 
|  service-managed-aws-control- 3.3 tower/v/1.0.0/S  |  Sicherheitskontrolle/S3.3  | 
|  service-managed-aws-control- 3.5 tower/v/1.0.0/S  |  Sicherheitskontrolle/S3.5  | 
|  service-managed-aws-control- 3.6 tower/v/1.0.0/S  |  Sicherheitskontrolle/S3.6  | 
|  service-managed-aws-control- 3.8 tower/v/1.0.0/S  |  Sicherheitskontrolle/S3.8  | 
|  service-managed-aws-control- 3.9 tower/v/1.0.0/S  |  Sicherheitskontrolle/3.9  | 
|  service-managed-aws-control- 3.12 tower/v/1.0.0/S  |  Sicherheitskontrolle/S3.12  | 
|  service-managed-aws-control- 3.13 tower/v/1.0.0/S  |  Sicherheitskontrolle/S3.13  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/SageMaker  |  Sicherheitskontrolle/ .1 SageMaker  | 
|  service-managed-aws-control- tower/v/1.0.0/SecretsManager 1.  |  Sicherheitskontrolle/ .1 SecretsManager  | 
|  service-managed-aws-control- tower/v/1.0.0/SecretsManager 2.  |  Sicherheitskontrolle/ .2 SecretsManager  | 
|  service-managed-aws-control- tower/v/1.0.0/SecretsManager 3.  |  Sicherheitskontrolle/ .3 SecretsManager  | 
|  service-managed-aws-control- tower/v/1.0.0/SecretsManager 4.  |  Sicherheitskontrolle/ .4 SecretsManager  | 
|  service-managed-aws-control- tower/v/1.0.0/SQS 1.  |  Sicherheitskontrolle/SQS.1  | 
|  service-managed-aws-control- 1. tower/v/1.0.0/SSM  |  Sicherheitskontrolle/SSM.1  | 
|  service-managed-aws-control- 1.2 tower/v/1.0.0/SSM  |  Sicherheitskontrolle/SSM.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/SSM  |  Sicherheitskontrolle/SSM.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/SSM  |  Sicherheitskontrolle/SSM.4  | 
|  service-managed-aws-control- 2. tower/v/1.0.0/WAF  |  Sicherheitskontrolle/WAF.2  | 
|  service-managed-aws-control- 3. tower/v/1.0.0/WAF  |  Sicherheitskontrolle/WAF.3  | 
|  service-managed-aws-control- 4. tower/v/1.0.0/WAF  |  Sicherheitskontrolle/WAF.4  | 

## Wie sich die Konsolidierung auf Kontrolle und Titel auswirkt IDs
<a name="securityhub-findings-format-changes-ids-titles"></a>

Die Ansicht konsolidierter Kontrollen und die konsolidierten Kontrollergebnisse vereinheitlichen die Kontrolle IDs und die Titel für alle Standards. Die Begriffe *Security Control ID* und *Security Control Title* beziehen sich auf diese standardunabhängigen Werte.

Die Security Hub CSPM-Konsole zeigt standardunabhängige Titel für Sicherheitskontrolle IDs und Sicherheitskontrolle an, unabhängig davon, ob die konsolidierten Kontrollergebnisse für Ihr Konto aktiviert oder deaktiviert sind. Die CSPM-Ergebnisse von Security Hub enthalten jedoch standardspezifische Kontrolltitel für PCI DSS und CIS v1.2.0, falls konsolidierte Kontrollergebnisse für Ihr Konto deaktiviert sind. Darüber hinaus enthalten die Ergebnisse des Security Hub CSPM die standardspezifische Kontroll-ID und die Sicherheitskontroll-ID. Beispiele dafür, wie sich die Konsolidierung auf die Kontrollergebnisse auswirkt, finden Sie unter. [Stichproben von Kontrollbefunden](sample-control-findings.md)

Bei Kontrollen, die Teil des [AWS Control Tower Service-Managed-Standards](service-managed-standard-aws-control-tower.md) sind, `CT.` wird das Präfix aus der Kontroll-ID und dem Titel in den Ergebnissen entfernt, wenn konsolidierte Kontrollergebnisse aktiviert sind.

Um eine Sicherheitskontrolle in Security Hub CSPM zu deaktivieren, müssen Sie alle Standardsteuerungen deaktivieren, die der Sicherheitskontrolle entsprechen. Die folgende Tabelle zeigt die Zuordnung von Sicherheitskontrollen IDs und Titeln zu standardspezifischen Kontrollen und Titeln. IDs IDs und Titel für Kontrollen, die zum FSBP-Standard ( AWS Foundational Security Best Practices) gehören, sind bereits standardunabhängig. Eine Zuordnung der Steuerelemente zu den Anforderungen von Center for Internet Security (CIS) v3.0.0 finden Sie unter. [Zuordnung der Kontrollen zu den CIS-Anforderungen in jeder Version](cis-aws-foundations-benchmark.md#cis-version-comparison) Um Ihre eigenen Skripts für diese Tabelle auszuführen, können Sie [sie als CSV-Datei herunterladen.](samples/Consolidation_ID_Title_Changes.csv.zip)


| Standard | Standard-Kontroll-ID und Titel | ID und Titel der Sicherheitskontrolle | 
| --- | --- | --- | 
|  CIS v1.2.0  |  1.1 Vermeiden Sie die Verwendung des Root-Benutzers  |  [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.2.0  |  1.10 Stellen Sie sicher, dass die IAM-Kennwortrichtlinie die Wiederverwendung von Passwörtern  |  [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)  | 
|  CIS v1.2.0  |  1.11 Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft  |  [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17)  | 
|  CIS v1.2.0  |  1.12 Stellen Sie sicher, dass kein Root-Benutzerzugriffsschlüssel vorhanden ist  |  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)  | 
|  CIS v1.2.0  |  1.13 Stellen Sie sicher, dass MFA für den Root-Benutzer aktiviert ist  |  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)  | 
|  CIS v1.2.0  |  1.14 Stellen Sie sicher, dass Hardware-MFA für den Root-Benutzer aktiviert ist  |  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)  | 
|  CIS v1.2.0  |  1.16 Stellen Sie sicher, dass IAM-Richtlinien nur Gruppen oder Rollen zugeordnet sind  |  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)  | 
|  CIS v1.2.0  |  1.2 Stellen Sie sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Benutzer aktiviert ist, die über ein Konsolenkennwort verfügen  |  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)  | 
|  CIS v1.2.0  |  1.20 Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support  |  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)  | 
|  CIS v1.2.0  |  1.22 Stellen Sie sicher, dass keine IAM-Richtlinien erstellt werden, die volle „\$1: \$1“ -Administratorrechte zulassen  |  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1)  | 
|  CIS v1.2.0  |  1.3 Stellen Sie sicher, dass Anmeldeinformationen, die 90 Tage oder länger nicht verwendet wurden, deaktiviert sind  |  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)  | 
|  CIS v1.2.0  |  1.4 Stellen Sie sicher, dass die Zugangsschlüssel alle 90 Tage oder weniger gewechselt werden  |  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)  | 
|  CIS v1.2.0  |  1.5 Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert  |  [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11)  | 
|  CIS v1.2.0  |  1.6 Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert  |  [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12)  | 
|  CIS v1.2.0  |  1.7 Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist  |  [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13)  | 
|  CIS v1.2.0  |  1.8 Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert  |  [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14)  | 
|  CIS v1.2.0  |  1.9 Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert  |  [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)  | 
|  CIS v1.2.0  |  2.1 Stellen Sie sicher, dass CloudTrail es in allen Regionen aktiviert ist  |  [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1)  | 
|  CIS v1.2.0  |  2.2 Stellen CloudTrail Sie sicher, dass die Überprüfung der Protokolldatei aktiviert ist  |  [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)  | 
|  CIS v1.2.0  |  2.3 Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist  |  [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6)  | 
|  CIS v1.2.0  |  2.4 Stellen Sie sicher, dass die CloudTrail Pfade in CloudWatch Logs integriert sind  |  [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5)  | 
|  CIS v1.2.0  |  2.5 Stellen Sie sicher, dass AWS Config es aktiviert ist  |  [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)  | 
|  CIS v1.2.0  |  2.6 Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist  |  [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7)  | 
|  CIS v1.2.0  |  2.7 Stellen Sie sicher, dass die CloudTrail Protokolle im Ruhezustand mit KMS verschlüsselt werden CMKs  |  [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)  | 
|  CIS v1.2.0  |  2.8 Stellen Sie sicher, dass die Rotation für den vom Kunden erstellten Kunden aktiviert CMKs ist  |  [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)  | 
|  CIS v1.2.0  |  2.9 Stellen Sie sicher, dass die VPC-Flow-Protokollierung in allen Bereichen aktiviert ist VPCs  |  [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)  | 
|  CIS v1.2.0  |  3.1 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind  |  [[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind](cloudwatch-controls.md#cloudwatch-2)  | 
|  CIS v1.2.0  |  3.10 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind  |  [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10)  | 
|  CIS v1.2.0  |  3.11 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind  |  [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11)  | 
|  CIS v1.2.0  |  3.12 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind  |  [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12)  | 
|  CIS v1.2.0  |  3.13 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind  |  [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13)  | 
|  CIS v1.2.0  |  3.14 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind  |  [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14)  | 
|  CIS v1.2.0  |  3.2 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung in der Management Console ohne MFA vorhanden sind  |  [[CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind](cloudwatch-controls.md#cloudwatch-3)  | 
|  CIS v1.2.0  |  3.3 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Verwendung des Root-Benutzers vorhanden sind  |  [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.2.0  |  3.4 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen der IAM-Richtlinien vorhanden sind  |  [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4)  | 
|  CIS v1.2.0  |  3.5 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind  |  [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5)  | 
|  CIS v1.2.0  |  3.6 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind  |  [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6)  | 
|  CIS v1.2.0  |  3.7 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind, um vom Kunden erstellte Dateien zu deaktivieren oder zu löschen CMKs  |  [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7)  | 
|  CIS v1.2.0  |  3.8 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen der S3-Bucket-Richtlinie vorhanden sind  |  [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8)  | 
|  CIS v1.2.0  |  3.9 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind  |  [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9)  | 
|  CIS v1.2.0  |  4.1 Stellen Sie sicher, dass keine Sicherheitsgruppen den Zugang von 0.0.0.0/0 zu Port 22 zulassen  |  [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13)  | 
|  CIS v1.2.0  |  4.2 Stellen Sie sicher, dass keine Sicherheitsgruppen den Zugriff von 0.0.0.0/0 auf Port 3389 zulassen  |  [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14)  | 
|  CIS v1.2.0  |  4.3 Stellen Sie sicher, dass die Standardsicherheitsgruppe jeder VPC den gesamten Datenverkehr einschränkt  |  [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2)  | 
|  CIS v1.4.0  |  1.10 Stellen Sie sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Benutzer aktiviert ist, die über ein Konsolenpasswort verfügen  |  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)  | 
|  CIS v1.4.0  |  1.14 Stellen Sie sicher, dass die Zugangsschlüssel alle 90 Tage oder weniger gewechselt werden  |  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)  | 
|  CIS v1.4.0  |  1.16 Stellen Sie sicher, dass IAM-Richtlinien, die volle „\$1: \$1“ -Administratorrechte zulassen, nicht beigefügt sind  |  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1)  | 
|  CIS v1.4.0  |  1.17 Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde mit Support  |  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)  | 
|  CIS v1.4.0  |  1.4 Stellen Sie sicher, dass kein Zugriffsschlüssel für das Root-Benutzerkonto vorhanden ist  |  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)  | 
|  CIS v1.4.0  |  1.5 Stellen Sie sicher, dass MFA für das Root-Benutzerkonto aktiviert ist  |  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)  | 
|  CIS v1.4.0  |  1.6 Stellen Sie sicher, dass Hardware-MFA für das Root-Benutzerkonto aktiviert ist  |  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)  | 
|  CIS v1.4.0  |  1.7 Eliminieren Sie die Verwendung des Root-Benutzers für administrative und tägliche Aufgaben  |  [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.4.0  |  1.8 Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestlänge von 14 oder mehr erfordert  |  [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)  | 
|  CIS v1.4.0  |  1.9 Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von  |  [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)  | 
|  CIS v1.4.0  |  2.1.2 Stellen Sie sicher, dass die S3-Bucket-Richtlinie so eingestellt ist, dass HTTP-Anfragen abgelehnt werden  |  [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)  | 
|  CIS v1.4.0  |  2.1.5.1 Die Einstellung S3 Block Public Access sollte aktiviert sein  |  [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)  | 
|  CIS v1.4.0  |  2.1.5.2 Die Einstellung S3 Block Public Access sollte auf Bucket-Ebene aktiviert sein  |  [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)  | 
|  CIS v1.4.0  |  2.2.1 Stellen Sie sicher, dass die EBS-Volume-Verschlüsselung aktiviert ist  |  [[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7)  | 
|  CIS v1.4.0  |  2.3.1 Stellen Sie sicher, dass die Verschlüsselung für RDS-Instances aktiviert ist  |  [[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3)  | 
|  CIS v1.4.0  |  3.1 Stellen Sie sicher, dass CloudTrail es in allen Regionen aktiviert ist  |  [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1)  | 
|  CIS v1.4.0  |  3.2 Stellen CloudTrail Sie sicher, dass die Überprüfung der Protokolldatei aktiviert ist  |  [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)  | 
|  CIS v1.4.0  |  3.4 Stellen Sie sicher, dass die CloudTrail Pfade in Logs integriert CloudWatch sind  |  [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5)  | 
|  CIS v1.4.0  |  3.5 Stellen Sie sicher, dass AWS Config es in allen Regionen aktiviert ist  |  [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)  | 
|  CIS v1.4.0  |  3.6 Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist  |  [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7)  | 
|  CIS v1.4.0  |  3.7 Stellen Sie sicher, dass die CloudTrail Protokolle im Ruhezustand mit KMS verschlüsselt werden CMKs  |  [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)  | 
|  CIS v1.4.0  |  3.8 Stellen Sie sicher, dass die Rotation für vom Kunden erstellte Dateien CMKs aktiviert ist  |  [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)  | 
|  CIS v1.4.0  |  3.9 Stellen Sie sicher, dass die VPC-Flow-Protokollierung in allen Bereichen aktiviert ist VPCs  |  [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)  | 
|  CIS v1.4.0  |  4.4 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen der IAM-Richtlinien vorhanden sind  |  [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4)  | 
|  CIS v1.4.0  |  4.5 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind  |  [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5)  | 
|  CIS v1.4.0  |  4.6 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind  |  [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6)  | 
|  CIS v1.4.0  |  4.7 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind, um vom Kunden erstellte Dateien zu deaktivieren oder zu löschen CMKs  |  [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7)  | 
|  CIS v1.4.0  |  4.8 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind  |  [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8)  | 
|  CIS v1.4.0  |  4.9 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind  |  [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9)  | 
|  CIS v1.4.0  |  4.10 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind  |  [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10)  | 
|  CIS v1.4.0  |  4.11 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind  |  [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11)  | 
|  CIS v1.4.0  |  4.12 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind  |  [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12)  | 
|  CIS v1.4.0  |  4.13 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind  |  [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13)  | 
|  CIS v1.4.0  |  4.14 Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind  |  [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14)  | 
|  CIS v1.4.0  |  5.1 Stellen Sie sicher, dass das Netzwerk keinen Zugriff von 0.0.0.0/0 zu den Verwaltungsports des Remoteservers ACLs zulässt  |  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)  | 
|  CIS v1.4.0  |  5.3 Stellen Sie sicher, dass die Standardsicherheitsgruppe jeder VPC den gesamten Datenverkehr einschränkt  |  [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2)  | 
|  PCI DSS v3.2.1  |  PCI. AutoScaling.1 Auto Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten Load Balancer-Integritätsprüfungen verwenden  |  [[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden](autoscaling-controls.md#autoscaling-1)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.1 CloudTrail Protokolle sollten im Ruhezustand verschlüsselt werden mit AWS KMS CMKs  |  [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.2 CloudTrail sollte aktiviert sein  |  [[CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-3)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.3 Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein  |  [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.4 CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden  |  [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5)  | 
|  PCI DSS v3.2.1  |  PCI. CodeBuild.1 CodeBuild GitHub oder das Bitbucket-Quell-Repository URLs sollte verwenden OAuth  |  [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1)  | 
|  PCI DSS v3.2.1  |  PCI. CodeBuild.2 CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten  |  [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2)  | 
|  PCI DSS v3.2.1  |   AWS Config PCI.Config.1 sollte aktiviert sein  |  [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)  | 
|  PCI DSS v3.2.1  |  PCI.CW.1 Es sollten ein Log-Metrikfilter und ein Alarm für die Verwendung durch den Benutzer „root“ vorhanden sein  |  [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1)  | 
|  PCI DSS v3.2.1  |  PCI.DMS.1 Database Migration Service Service-Replikationsinstanzen sollten nicht öffentlich sein  |  [[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.1 EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein  |  [[EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein](ec2-controls.md#ec2-1)  | 
|  PCI DSS v3.2.1  |  Die VPC-Standardsicherheitsgruppe PCI.EC2.2 sollte eingehenden und ausgehenden Datenverkehr verbieten  |  [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.4 EIPs Unbenutztes EC2 sollte entfernt werden  |  [[EC2.12] Unbenutztes Amazon EC2 sollte entfernt EIPs werden](ec2-controls.md#ec2-12)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.5-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 auf Port 22 zulassen  |  [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.6 Die VPC-Flow-Protokollierung sollte insgesamt aktiviert sein VPCs  |  [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)  | 
|  PCI DSS v3.2.1  |  PCI. ELBv2.1 Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden  |  [[ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden](elb-controls.md#elb-1)  | 
|  PCI DSS v3.2.1  |  PCI.ES.1 Elasticsearch-Domains sollten sich in einer VPC befinden  |  [[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2)  | 
|  PCI DSS v3.2.1  |  Bei PCI.ES.2 Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein  |  [[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](es-controls.md#es-1)  | 
|  PCI DSS v3.2.1  |  PCI. GuardDuty.1 GuardDuty sollte aktiviert sein  |  [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.1 Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren  |  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.2 IAM-Benutzern sollten keine IAM-Richtlinien zugewiesen sein  |  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.3 IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen  |  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.4 Hardware MFA sollte für den Root-Benutzer aktiviert sein  |  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.5 Virtual MFA sollte für den Root-Benutzer aktiviert sein  |  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.6 MFA sollte für alle IAM-Benutzer aktiviert sein  |  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.7 IAM-Benutzeranmeldedaten sollten deaktiviert werden, wenn sie nicht innerhalb einer vordefinierten Anzahl von Tagen verwendet werden  |  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.8-Passwortrichtlinien für IAM-Benutzer sollten solide Konfigurationen haben  |  [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10)  | 
|  PCI DSS v3.2.1  |  PCI.KMS.1 Die CMK-Rotation (Customer Master Key) sollte aktiviert sein  |  [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)  | 
|  PCI DSS v3.2.1  |  PCI.Lambda.1 Lambda-Funktionen sollten den öffentlichen Zugriff verbieten  |  [[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1)  | 
|  PCI DSS v3.2.1  |  PCI.Lambda.2 Lambda-Funktionen sollten sich in einer VPC befinden  |  [[Lambda.3] Lambda-Funktionen sollten sich in einer VPC befinden](lambda-controls.md#lambda-3)  | 
|  PCI DSS v3.2.1  |   OpenSearch PCI.OpenSearch.1-Domains sollten sich in einer VPC befinden  |  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2)  | 
|  PCI DSS v3.2.1  |  PCI.OpenSearch.2 EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein  |  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1)  | 
|  PCI DSS v3.2.1  |  Der PCI.RDS.1 RDS-Snapshot sollte privat sein  |  [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1)  | 
|  PCI DSS v3.2.1  |  PCI.RDS.2 RDS-DB-Instances sollten den öffentlichen Zugriff verbieten  |  [[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2)  | 
|  PCI DSS v3.2.1  |  PCI.redshift.1 Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten  |  [[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1)  | 
|  PCI DSS v3.2.1  |  PCI.S3.1 S3-Buckets sollten öffentlichen Schreibzugriff verbieten  |  [[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren](s3-controls.md#s3-3)  | 
|  PCI DSS v3.2.1  |  PCI.S3.2 S3-Buckets sollten öffentlichen Lesezugriff verbieten  |  [[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren](s3-controls.md#s3-2)  | 
|  PCI DSS v3.2.1  |  Bei PCI.S3.3 S3-Buckets sollte die regionsübergreifende Replikation aktiviert sein  |  [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7)  | 
|  PCI DSS v3.2.1  |  PCI.S3.5 S3-Buckets sollten Anfragen zur Verwendung von Secure Socket Layer erfordern  |  [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)  | 
|  PCI DSS v3.2.1  |  Die Einstellung PCI.S3.6 S3 Block Public Access sollte aktiviert sein  |  [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)  | 
|  PCI DSS v3.2.1  |  PCI. SageMaker.1 SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben  |  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1)  | 
|  PCI DSS v3.2.1  |  PCI.SSM.1 EC2-Instances, die von Systems Manager verwaltet werden, sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben  |  [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2)  | 
|  PCI DSS v3.2.1  |  Von Systems Manager verwaltete PCI.SSM.2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben  |  [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3)  | 
|  PCI DSS v3.2.1  |  PCI.SSM.3 EC2-Instances sollten verwaltet werden von AWS Systems Manager  |  [[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager](ssm-controls.md#ssm-1)  | 

## Aktualisierung der Workflows für die Konsolidierung
<a name="securityhub-findings-format-changes-prepare"></a>

Wenn Ihre Workflows nicht auf dem spezifischen Format der Felder in den Kontrollergebnissen basieren, sind keine Maßnahmen erforderlich.

Wenn Ihre Workflows auf dem spezifischen Format eines oder mehrerer Felder in Kontrollergebnissen basieren, wie in den vorherigen Tabellen angegeben, sollten Sie Ihre Workflows aktualisieren. Wenn Sie beispielsweise eine EventBridge Amazon-Regel erstellt haben, die eine Aktion für eine bestimmte Kontroll-ID ausgelöst hat, z. B. das Aufrufen einer AWS Lambda Funktion, wenn die Kontroll-ID CIS 2.7 entspricht, aktualisieren Sie die Regel so, dass sie CloudTrail .2 verwendet, was der Wert für das `Compliance.SecurityControlId` Feld für dieses Steuerelement ist.

Wenn Sie [benutzerdefinierte Erkenntnisse](securityhub-custom-insights.md) erstellt haben, die Felder oder Werte verwenden, die sich geändert haben, aktualisieren Sie diese Erkenntnisse, sodass sie die neuen Felder oder Werte verwenden.

# Erforderliche ASFF-Attribute der obersten Ebene
<a name="asff-required-attributes"></a>

Die folgenden Attribute der obersten Ebene im AWS Security Finding Format (ASFF) sind für alle Ergebnisse in Security Hub CSPM erforderlich. Weitere Informationen zu diesen Attributen finden Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html)in der *AWS Security Hub API-Referenz*.

## AwsAccountId
<a name="AwsAccountId"></a>

Die AWS-Konto ID, für die das Ergebnis gilt.

**Beispiel**

```
"AwsAccountId": "111111111111"
```

## CreatedAt
<a name="CreatedAt"></a>

Gibt an, wann das potenzielle Sicherheitsproblem oder das Ereignis, das durch einen Befund erfasst wurde, verursacht wurde.

**Beispiel**

```
"CreatedAt": "2017-03-22T13:22:13.933Z"
```

## Description
<a name="Description"></a>

Die Beschreibung eines Fundes. Dieses Feld kann unspezifischen Standardtext oder spezifische Details für die Instance des Fundes enthalten.

Für Kontrollergebnisse, die Security Hub CSPM generiert, enthält dieses Feld eine Beschreibung der Kontrolle.

Dieses Feld verweist nicht auf einen Standard, wenn Sie [konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings) aktivieren.

**Beispiel**

```
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
```

## GeneratorId
<a name="GeneratorId"></a>

Die Kennung für die lösungsspezifische Komponente (eine separate Logikeinheit), die einen Fund generiert hat.

Bei Kontrollergebnissen, die Security Hub CSPM generiert, verweist dieses Feld nicht auf einen Standard, wenn Sie [konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings) aktivieren.

**Beispiel**

```
"GeneratorId": "security-control/Config.1"
```

## Id
<a name="Id"></a>

Die produktspezifische Kennung für einen Fund. Für Kontrollergebnisse, die Security Hub CSPM generiert, enthält dieses Feld den Amazon-Ressourcennamen (ARN) des Ergebnisses.

Dieses Feld verweist nicht auf einen Standard, wenn Sie [konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings) aktivieren.

**Beispiel**

```
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"
```

## ProductArn
<a name="ProductArn"></a>

Der von Security Hub CSPM generierte Amazon-Ressourcenname (ARN), der ein Finding-Produkt eines Drittanbieters eindeutig identifiziert, nachdem das Produkt bei Security Hub CSPM registriert wurde.

Das Format des Felds ist `arn:partition:securityhub:region:account-id:product/company-id/product-id`.
+  AWS-Services Damit sie in Security Hub CSPM integriert sind, `company-id` müssen sie "`aws`" lauten, und das `product-id` muss der Name des AWS öffentlichen Dienstes sein. Da AWS Produkte und Dienstleistungen keinem Konto zugeordnet sind, ist der `account-id` Bereich des ARN leer. AWS-Services die noch nicht in Security Hub CSPM integriert sind, gelten als Produkte von Drittanbietern.
+ Für öffentliche Produkte müssen die `company-id` und die `product-id` die ID-Werte sein, die zum Zeitpunkt der Registrierung angegeben wurden.
+ Für private Produkte muss die `company-id` die Konto-ID sein. Die `product-id` muss das reservierte Wort "default" (Standard) oder die ID sein, die zum Zeitpunkt der Registrierung angegeben wurde.

**Beispiel**

```
// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
```

## Ressourcen
<a name="Resources"></a>

Das `Resources` Array von Objekten stellt eine Reihe von Ressourcendatentypen bereit, die die AWS Ressourcen beschreiben, auf die sich das Ergebnis bezieht. Einzelheiten zu den Feldern, die ein `Resources` Objekt enthalten kann, einschließlich der Felder, die erforderlich sind, finden Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html)in der *AWS Security Hub Hub-API-Referenz*. Beispiele für bestimmte `Resources` Objekte finden Sie AWS-Services unter[ResourcesASFF-Objekt](asff-resources.md).

**Beispiel**

```
"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]
```

## SchemaVersion
<a name="SchemaVersion"></a>

Die Schemaversion, für die ein Fund formatiert ist. Der Wert dieses Feldes muss eine der offiziell veröffentlichten Versionen sein, die von AWS identifiziert wurden. In der aktuellen Version ist die Schemaversion des AWS Security Finding Formats`2018-10-08`.

**Beispiel**

```
"SchemaVersion": "2018-10-08"
```

## Schweregrad
<a name="Severity"></a>

Definiert die Wichtigkeit eines Ergebnisses. Einzelheiten zu diesem Objekt finden Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html)in der *AWS Security Hub API-Referenz*.

`Severity`ist sowohl ein Objekt der obersten Ebene in einem Finding als auch ein unter dem Objekt verschachteltes Objekt. `FindingProviderFields`

Der Wert des `Severity` Objekts der obersten Ebene für einen Befund sollte nur mithilfe der API aktualisiert werden. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)

Um Informationen zum Schweregrad bereitzustellen, sollten Suchanbieter `FindingProviderFields` bei einer [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)API-Anfrage das `Severity` Objekt unter aktualisieren.
 Wenn eine `BatchImportFindings` Anfrage für ein neues Ergebnis nur liefert `Label` oder nur liefert`Normalized`, füllt Security Hub CSPM automatisch den Wert des anderen Felds aus. Die `Original` Felder `Product` und können ebenfalls ausgefüllt werden.

Wenn das `Finding.Severity` Objekt der obersten Ebene vorhanden, aber nicht vorhanden `Finding.FindingProviderFields` ist, erstellt Security Hub CSPM das `FindingProviderFields.Severity` Objekt und kopiert das gesamte `Finding.Severity object` Objekt hinein. Dadurch wird sichergestellt, dass die ursprünglichen, vom Anbieter bereitgestellten Details in der `FindingProviderFields.Severity` Struktur beibehalten werden, auch wenn das Objekt der obersten Ebene überschrieben wird. `Severity` 

Der Schweregrad des Ergebnisses berücksichtigt nicht den kritischen Charakter der beteiligten Komponenten oder der zugrunde liegenden Ressource. Der kritische Charakter ist definiert als die Wichtigkeit der Ressourcen, die mit dem Ergebnis verbunden sind. Beispielsweise hat eine Ressource, die einer geschäftskritischen Anwendung zugeordnet ist, eine höhere Priorität als eine Ressource, die nicht produktionstechnischen Tests zugeordnet ist. Verwenden Sie das `Criticality`-Feld, um Informationen zum kritischen Charakter der Ressource zu erfassen.

Wir empfehlen, bei der Übersetzung der systemeigenen Schweregrade der Ergebnisse in den Wert von im ASFF die folgenden Hinweise zu beachten. `Severity.Label`
+ `INFORMATIONAL`— Diese Kategorie kann einen Befund für einen`PASSED`,`WARNING`, oder `NOT AVAILABLE` Scheck oder eine Identifizierung sensibler Daten beinhalten.
+ `LOW`— Erkenntnisse, die zu future Kompromissen führen könnten. Zu dieser Kategorie können beispielsweise Sicherheitslücken, Konfigurationsschwächen und offengelegte Passwörter gehören.
+ `MEDIUM`— Ergebnisse, die auf einen aktiven Kompromiss hindeuten, aber keinen Hinweis darauf, dass ein Gegner seine Ziele erreicht hat. Zu dieser Kategorie können beispielsweise Malware-Aktivitäten, Hacking-Aktivitäten und die Erkennung ungewöhnlicher Verhaltensweisen gehören.
+ `HIGH`oder `CRITICAL` — Ergebnisse, die darauf hindeuten, dass ein Angreifer seine Ziele erreicht hat, wie z. B. aktiver Datenverlust oder Datenkompromittierung oder Denial-of-Service.

**Beispiel**

```
"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}
```

## Title
<a name="Title"></a>

Der Titel eines Fundes. Dieses Feld kann unspezifischen Standardtext oder spezifische Details für diese Instanz des Fundes enthalten.

Bei Kontrollergebnissen gibt dieses Feld den Titel der Kontrolle an. Dieses Feld verweist nicht auf einen Standard, wenn Sie [konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings) aktivieren.

**Beispiel**

```
"Title": "AWS Config should be enabled"
```

## Typen
<a name="Types"></a>

Ein oder mehrere Fundtypen im Format `namespace/category/classifier`, die einen Fund klassifizieren. Dieses Feld verweist nicht auf einen Standard, wenn Sie [konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings) aktivieren.

`Types`sollte nur mithilfe der [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API aktualisiert werden.

Wenn Sie nach Anbietern suchen, für die Sie einen Wert angeben möchten, `Types` sollten Sie das `Types` Attribut unter verwenden [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html).

In der folgenden Liste sind die Aufzählungszeichen der obersten Ebene Namespaces, die Aufzählungszeichen der zweiten Ebene Kategorien und die Aufzählungszeichen der dritten Ebene Klassifikatoren. Wir empfehlen, dass Suchanbieter definierte Namespaces verwenden, um Ergebnisse zu sortieren und zu gruppieren. Die definierten Kategorien und Klassifikatoren können ebenfalls verwendet werden, sind aber nicht erforderlich. Nur der Software- und Konfigurationsprüfungs-Namespace hat definierte Klassifizierer.

Sie können einen Teilpfad für namespace/category/classifier definieren. Zum Beispiel sind die folgenden Findetypen alle gültig:
+ TTPs
+ TTPs/Umgehung der Verteidigung
+ TTPs/Defense Evasion/CloudTrailStopped

Die Kategorien Taktiken, Techniken und Verfahren (TTPs) in der folgenden Liste entsprechen der [MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/) MatrixTM. Der Namespace Unusual Behaviors spiegelt allgemeines ungewöhnliches Verhalten wider, wie z. B. allgemeine statistische Anomalien, und ist nicht auf ein bestimmtes TTP abgestimmt. Sie können ein Ergebnis jedoch sowohl nach ungewöhnlichem Verhalten als auch nach Befundtypen klassifizieren. TTPs 

**Liste der Namespaces, Kategorien und Klassifikatoren:**
+ Software- und Konfigurationsprüfungen
  + Schwachstellen
    + CVE
  + AWS Bewährte Methoden im Bereich Sicherheit
    + Netzwerkerreichbarkeit
    + Laufzeitverhaltens-Analyse
  + Branchen- und regulatorische Standards
    + AWS Bewährte grundlegende Sicherheitsmethoden
    + CIS-Benchmarks zur Host-Härtung
    + Maßstab für AWS GUS-Stiftungen
    + PCI-DSS
    + Cloud Security Alliance-Kontrollen
    + ISO 90001-Kontrollen
    + ISO 27001-Kontrollen
    + ISO 27017-Kontrollen
    + ISO 27018-Kontrollen
    + SOC 1
    + SOC 2
    + HIPAA-Kontrollen (USA)
    + NIST 800-53-Kontrollen (USA)
    + NIST CSF-Kontrollen (USA)
    + IRAP-Kontrollen (Australien)
    + K-ISMS-Kontrollen (Korea)
    + MTCS-Kontrollen (Singapur)
    + FISC-Kontrollen (Japan)
    + My Number Act-Kontrollen (Japan)
    + ENS-Kontrollen (Spanien)
    + Cyber Essentials Plus-Kontrollen (Vereinigtes Königkreich)
    + G-Cloud-Kontrollen (Vereinigtes Königreich)
    + C5-Kontrollen (Deutschland)
    + IT-Grundschutz-Kontrollen (Deutschland)
    + DSGVO-Kontrollen (Europa)
    + TISAX-Kontrollen (Europa)
  + Patch-Management
+ TTPs
  + Anfänglicher Zugriff
  + Ausführung
  + Persistenz
  + Rechteeskalation
  + Abwehrumgehung
  + Anmeldeinformationszugriff
  + Erkennung
  + Seitwärtsbewegung (Lateral Movement)
  + Sammlung
  + Command and Control
+ Auswirkungen
  + Offenlegung von Daten
  + Datenexfiltration 
  + Datenvernichtung 
  + Denial of Service 
  + Ressourcennutzung
+ Ungewöhnliches Verhalten
  + Anwendung
  + Netzwerkfluss
  + IP-Adresse
  + Benutzer
  + VM
  + Behälter
  + Serverless
  + Prozess
  + Datenbank
  + Daten 
+ Identifizierung sensibler Daten
  + Personenbezogene Daten
  + Passwörter
  + Recht
  + Finanzanwendungen
  + Sicherheit
  + Geschäft

**Beispiel**

```
"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
]
```

## UpdatedAt
<a name="UpdatedAt"></a>

Gibt an, wann der Suchprovider den Ergebnisdatensatz zuletzt aktualisiert hat.

Dieser Zeitstempel gibt den Zeitpunkt an, zu dem der Suchdatensatz zuletzt oder zuletzt aktualisiert wurde. Folglich kann er vom `LastObservedAt` Zeitstempel abweichen, der angibt, wann das Ereignis oder die Sicherheitsanfälligkeit zuletzt oder zuletzt beobachtet wurde.

Wenn Sie den Funddatensatz aktualisieren, müssen Sie diesen Zeitstempel durch den aktualisierten Zeitstempel ersetzen. Bei der Erstellung eines Befunddatensatzes müssen die Zeitstempel `CreatedAt` und die `UpdatedAt` Zeitstempel identisch sein. Nach einer Aktualisierung des Suchdatensatzes muss der Wert dieses Felds aktueller sein als alle vorherigen Werte, die es enthielt.

Beachten Sie, dass dieser [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)Vorgang `UpdatedAt` nicht aktualisiert werden kann. Sie können es nur mithilfe von [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)Operation aktualisieren.

**Beispiel**

```
"UpdatedAt": "2017-04-22T13:22:13.933Z"
```

# Optionale ASFF-Attribute der obersten Ebene
<a name="asff-top-level-attributes"></a>

Die folgenden Attribute der obersten Ebene im AWS Security Finding Format (ASFF) sind für Ergebnisse in Security Hub CSPM optional. Weitere Informationen zu diesen Attributen finden Sie [AwsSecurityFinding](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html)in der *AWS Security Hub API-Referenz*.

## Action
<a name="asff-action"></a>

Das [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html)Objekt enthält Details zu einer Aktion, die sich auf eine Ressource auswirkt oder auf einer Ressource ausgeführt wurde.

**Beispiel**

```
"Action": {
    "ActionType": "PORT_PROBE",
    "PortProbeAction": {
        "PortProbeDetails": [
            {
                "LocalPortDetails": {
                    "Port": 80,
                    "PortName": "HTTP"
                  },
                "LocalIpDetails": {
                     "IpAddressV4": "192.0.2.0"
                 },
                "RemoteIpDetails": {
                    "Country": {
                        "CountryName": "Example Country"
                    },
                    "City": {
                        "CityName": "Example City"
                    },
                   "GeoLocation": {
                       "Lon": 0,
                       "Lat": 0
                   },
                   "Organization": {
                       "AsnOrg": "ExampleASO",
                       "Org": "ExampleOrg",
                       "Isp": "ExampleISP",
                       "Asn": 64496
                   }
                }
            }
        ],
        "Blocked": false
    }
}
```

## AwsAccountName
<a name="asff-awsaccountname"></a>

Der AWS-Konto Name, auf den sich das Ergebnis bezieht.

**Beispiel**

```
"AwsAccountName": "jane-doe-testaccount"
```

## CompanyName
<a name="asff-companyname"></a>

Der Name des Unternehmens für das Produkt, das zu dem Ergebnis geführt hat. Bei auf Kontrollen beruhenden Ergebnissen lautet das Unternehmen. AWS

Security Hub CSPM füllt dieses Attribut automatisch für jeden Befund aus. Sie können es nicht mit oder aktualisieren. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) Die Ausnahme ist, wenn Sie eine benutzerdefinierte Integration verwenden. Siehe [Integration von Security Hub CSPM mit kundenspezifischen Produkten](securityhub-custom-providers.md).

Wenn Sie die Security Hub CSPM-Konsole verwenden, um Ergebnisse nach Firmennamen zu filtern, verwenden Sie dieses Attribut. Wenn Sie die Security Hub CSPM-API verwenden, um Ergebnisse nach Firmennamen zu filtern, verwenden Sie das `aws/securityhub/CompanyName` Attribut unter. `ProductFields` Security Hub CSPM synchronisiert diese beiden Attribute nicht.

**Beispiel**

```
"CompanyName": "AWS"
```

## Compliance
<a name="asff-compliance"></a>

Das [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html)Objekt enthält in der Regel Details zu einem Kontrollergebnis, wie z. B. geltende Standards und den Status der Kontrollprüfung.

**Beispiel**

```
"Compliance": {
    "AssociatedStandards": [
        {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
        {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"},
        {"StandardsId": "standards/nist-800-53/v/5.0.0"}
    ],
    "RelatedRequirements": [
        "NIST.800-53.r5 AC-4",
        "NIST.800-53.r5 AC-4(21)",
        "NIST.800-53.r5 SC-7",
        "NIST.800-53.r5 SC-7(11)",
        "NIST.800-53.r5 SC-7(16)",
        "NIST.800-53.r5 SC-7(21)",
        "NIST.800-53.r5 SC-7(4)",
        "NIST.800-53.r5 SC-7(5)"
    ],
    "SecurityControlId": "EC2.18",
    "SecurityControlParameters":[
        {
            "Name": "authorizedTcpPorts",
            "Value": ["80", "443"]
        },
        {
            "Name": "authorizedUdpPorts",
            "Value": ["427"]
        }
    ],
    "Status": "NOT_AVAILABLE",
    "StatusReasons": [
        {
            "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE",
            "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub CSPM a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation."
        }
    ]
}
```

## Wahrscheinlichkeit
<a name="asff-confidence"></a>

Die Wahrscheinlichkeit, dass ein Ergebnis das Verhalten oder das Problem, das identifiziert werden sollte, genau identifiziert.

`Confidence`sollte nur mit aktualisiert werden [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

Wenn Sie nach Anbietern suchen, für die Sie einen Wert angeben möchten, `Confidence` sollten Sie das `Confidence` Attribut unter verwenden`FindingProviderFields`. Siehe [Aktualisierung der Ergebnisse mit FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).

`Confidence`wird anhand einer Verhältnisskala auf einer Basis von 0—100 bewertet. 0 bedeutet 0 Prozent Konfidenz, und 100 bedeutet 100 Prozent Konfidenz. Beispielsweise hat eine Erkennung einer Datenexfiltration, die auf einer statistischen Abweichung des Netzwerkverkehrs basiert, eine geringe Zuverlässigkeit, da eine tatsächliche Exfiltration nicht verifiziert wurde.

**Beispiel**

```
"Confidence": 42
```

## Kritikalität
<a name="asff-criticality"></a>

Die Wichtigkeit, die den Ressourcen zugewiesen wird, die mit einem Ergebnis verknüpft sind.

`Criticality`sollte nur durch Aufrufen der [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API-Operation aktualisiert werden. Aktualisieren Sie dieses Objekt nicht mit [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).

Wenn Sie nach Anbietern suchen, für die Sie einen Wert angeben möchten, `Criticality` sollten Sie das `Criticality` Attribut unter verwenden`FindingProviderFields`. Siehe [Aktualisierung der Ergebnisse mit FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).

`Criticality`wird auf einer Basis von 0—100 bewertet, wobei eine Verhältnisskala verwendet wird, die nur ganze Zahlen unterstützt. Ein Wert von 0 bedeutet, dass die zugrunde liegenden Ressourcen keine Kritikalität haben, und der Wert 100 ist den wichtigsten Ressourcen vorbehalten.

Beachten Sie bei der Zuweisung für jede Ressource Folgendes: `Criticality`
+ Enthält die betroffene Ressource sensible Daten (z. B. einen S3-Bucket mit PII)? 
+ Ermöglicht die betroffene Ressource einem Angreifer, seinen Zugriff zu vertiefen oder seine Fähigkeiten zur Ausführung zusätzlicher bösartiger Aktivitäten auszuweiten (z. B. ein kompromittiertes Systemadministratorkonto)?
+ Ist die Ressource ein geschäftskritisches Asset (z. B. ein wesentliches Unternehmenssystem, dessen Kompromittierung bedeutende Umsatzeinbußen verursachen könnte)?

Sie können die folgenden Richtlinien verwenden:
+ Eine Ressource, die geschäftskritische Systeme mit Strom versorgt oder hochsensible Daten enthält, kann im Bereich von 75 bis 100 bewertet werden.
+ Eine Ressource, die wichtige (aber nicht kritische Systeme) mit Strom versorgt oder mäßig wichtige Daten enthält, kann im Bereich 25—74 bewertet werden.
+ Eine Ressource, die unwichtige Systeme unterstützt oder unsensible Daten enthält, sollte im Bereich von 0—24 bewertet werden.

**Beispiel**

```
"Criticality": 99
```

## Erkennung
<a name="asff-detection"></a>

Das `Detection` Objekt enthält Details zu einer Angriffssequenz, die von Amazon GuardDuty Extended Threat Detection gefunden wurde. GuardDuty generiert eine Erkennung der Angriffssequenz, wenn mehrere Ereignisse auf eine potenziell verdächtige Aktivität zurückzuführen sind. Um die Ergebnisse der GuardDuty Angriffssequenz in AWS Security Hub CSPM zu erhalten, müssen Sie die GuardDuty Aktivierung in Ihrem Konto aktiviert haben. Weitere Informationen finden Sie unter [Amazon GuardDuty Extended Threat Detection](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-extended-threat-detection.html) im * GuardDuty Amazon-Benutzerhandbuch*.

**Beispiel**

```
"Detection": {
    "Sequence": {
    	"Uid": "1111111111111-184ec3b9-cf8d-452d-9aad-f5bdb7afb010",
    	"Actors": [{
    		"Id": "USER:AROA987654321EXAMPLE:i-b188560f:1234567891",
    		"Session": {
    			"Uid": "1234567891",
    			"MfAStatus": "DISABLED",
    			"CreatedTime": "1716916944000",
    			"Issuer": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
    		},
    		"User": {
    			"CredentialUid": "ASIAIOSFODNN7EXAMPLE",
    			"Name": "ec2_instance_role_production",
    			"Type": "AssumedRole",
    			"Uid": "AROA987654321EXAMPLE:i-b188560f",
    			"Account": {
    				"Uid": "AccountId",
    				"Name": "AccountName"
    			}
    		}
    	}],
    	"Endpoints": [{
    		"Id": "EndpointId",
    		"Ip": "203.0.113.1",
    		"Domain": "example.com",
    		"Port": 4040,
    		"Location": {
    			"City": "New York",
    			"Country": "US",
    			"Lat": 40.7123,
    			"Lon": -74.0068
    		},
    		"AutonomousSystem": {
    			"Name": "AnyCompany",
    			"Number": 64496
    		},
    		"Connection": {
    			"Direction": "INBOUND"
    		}
    	}],
    	"Signals": [{
    		"Id": "arn:aws:guardduty:us-east-1:123456789012:detector/d0bfe135ab8b4dd8c3eaae7df9900073/finding/535a382b1bcc44d6b219517a29058fb7",
    		"Title": "Someone ran a penetration test tool on your account.",
    		"ActorIds": ["USER:AROA987654321EXAMPLE:i-b188560f:1234567891"],
    		"Count": 19,
    		"FirstSeenAt": 1716916943000,
    		"SignalIndicators": [
    			{
    				"Key": "ATTACK_TACTIC",
    				"Title": "Attack Tactic",
    				"Values": [
    					"Impact"
    				]
    			},
    			{
    				"Key": "HIGH_RISK_API",
    				"Title": "High Risk Api",
    				"Values": [
    					"s3:DeleteObject"
    				]
    			},
    			{
    				"Key": "ATTACK_TECHNIQUE",
    				"Title": "Attack Technique",
    				"Values": [
    					"Data Destruction"
    				]
    			},
    		],
    		"LastSeenAt": 1716916944000,
    		"Name": "Test:IAMUser/KaliLinux",
    		"ResourceIds": [
    			"arn:aws:s3:::amzn-s3-demo-destination-bucket"
    		],
    		"Type": "FINDING"
    	}],
    	"SequenceIndicators": [
    		{
    			"Key": "ATTACK_TACTIC",
    			"Title": "Attack Tactic",
    			"Values": [
    				"Discovery",
    				"Exfiltration",
    				"Impact"
    			]
    		},
    		{
    			"Key": "HIGH_RISK_API",
    			"Title": "High Risk Api",
    			"Values": [
    				"s3:DeleteObject",
    				"s3:GetObject",
    				"s3:ListBuckets"
    				"s3:ListObjects"
    			]
    		},
    		{
    			"Key": "ATTACK_TECHNIQUE",
    			"Title": "Attack Technique",
    			"Values": [
    				"Cloud Service Discovery",
    				"Data Destruction"
    			]
    		}
    	]
    }
}
```

## FindingProviderFields
<a name="asff-findingproviderfields"></a>

`FindingProviderFields`umfasst die folgenden Attribute:
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

Die obigen Felder sind unter dem `FindingProviderFields` Objekt verschachtelt, haben jedoch Entsprechungen mit demselben Namen wie ASFF-Felder der obersten Ebene. Wenn ein neuer Befund von einem Suchprovider an Security Hub CSPM gesendet wird, füllt Security Hub CSPM das `FindingProviderFields` Objekt automatisch auf, wenn es aufgrund der entsprechenden Felder der obersten Ebene leer ist.

Finding Provider können Updates `FindingProviderFields` mithilfe der [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)Security Hub CSPM-API aktualisieren. Die Suche nach Anbietern kann dieses Objekt nicht mit aktualisieren. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)

Einzelheiten darüber, wie Security Hub CSPM Updates von `BatchImportFindings` zu `FindingProviderFields` und zu den entsprechenden Attributen der obersten Ebene verarbeitet, finden Sie unter. [Aktualisierung der Ergebnisse mit FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields)

Kunden können die Felder der obersten Ebene mithilfe des Vorgangs aktualisieren. `BatchUpdateFindings` Kunden können nicht aktualisieren`FindingProviderFields`.

**Beispiel**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

## FirstObservedAt
<a name="asff-firstobservedat"></a>

Gibt an, wann das potenzielle Sicherheitsproblem oder das Ereignis, das durch einen Befund erfasst wurde, zum ersten Mal beobachtet wurde.

Dieser Zeitstempel gibt an, wann das Ereignis oder die Sicherheitsanfälligkeit zum ersten Mal beobachtet wurde. Folglich kann er vom `CreatedAt` Zeitstempel abweichen, der angibt, wann dieser Ergebnisdatensatz erstellt wurde.

Bei Kontrollergebnissen, die Security Hub CSPM generiert und aktualisiert, kann dieser Zeitstempel auch angeben, wann sich der Compliance-Status einer Ressource zuletzt geändert hat. Bei anderen Arten von Ergebnissen sollte dieser Zeitstempel zwischen Aktualisierungen des Ergebnisdatensatzes unveränderlich sein. Er kann jedoch aktualisiert werden, wenn ein genauerer Zeitstempel ermittelt wird.

**Beispiel**

```
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
```

## LastObservedAt
<a name="asff-lastobservedat"></a>

Gibt an, wann das potenzielle Sicherheitsproblem oder Ereignis, das durch einen Befund erfasst wurde, zuletzt vom Produkt mit Sicherheitsergebnissen beobachtet wurde.

Dieser Zeitstempel gibt an, wann das Ereignis oder die Sicherheitsanfälligkeit zuletzt oder zuletzt beobachtet wurde. Folglich kann er vom `UpdatedAt` Zeitstempel abweichen, der angibt, wann dieser Ergebnisdatensatz zuletzt oder zuletzt aktualisiert wurde. 

Sie können diesen Zeitstempel angeben, er ist jedoch bei der ersten Beobachtung nicht erforderlich. Wenn Sie dieses Feld bei der ersten Beobachtung ausfüllen, sollte der Zeitstempel mit dem Zeitstempel identisch sein. `FirstObservedAt` Sie sollten dieses Feld immer wieder aktualisieren, sodass immer der Zeitstempel der letzten Beobachtung des Fundes angegeben wird.

**Beispiel**

```
"LastObservedAt": "2017-03-23T13:22:13.933Z"
```

## Schadsoftware
<a name="asff-malware"></a>

Das Objekt [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html) stellt eine Liste der Malware zur Verfügung, die mit einem Fund zusammenhängt.

**Beispiel**

```
"Malware": [
    {
        "Name": "Stringler",
        "Type": "COIN_MINER",
        "Path": "/usr/sbin/stringler",
        "State": "OBSERVED"
    }
]
```

## Netzwerk (im Ruhestand)
<a name="asff-network"></a>

Das [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html)Objekt stellt netzwerkbezogene Informationen zu einem Befund bereit.

Dieses Objekt ist ausgemustert. Um diese Daten bereitzustellen, können Sie die Daten entweder einer Ressource in zuordnen `Resources` oder das `Action` Objekt verwenden.

**Beispiel**

```
"Network": {
    "Direction": "IN",
    "OpenPortRange": {
        "Begin": 443,
        "End": 443
    },
    "Protocol": "TCP",
    "SourceIpV4": "1.2.3.4",
    "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "SourcePort": "42",
    "SourceDomain": "example1.com",
    "SourceMac": "00:0d:83:b1:c0:8e",
    "DestinationIpV4": "2.3.4.5",
    "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "DestinationPort": "80",
    "DestinationDomain": "example2.com"
}
```

## NetworkPath
<a name="asff-networkpath"></a>

Das [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html)Objekt stellt Informationen über einen Netzwerkpfad bereit, der mit einem Befund zusammenhängt. Jeder Eintrag in `NetworkPath` steht für eine Komponente des Pfads.

**Beispiel**

```
"NetworkPath" : [
    {
        "ComponentId": "abc-01a234bc56d8901ee",
        "ComponentType": "AWS::EC2::InternetGateway",
        "Egress": {
            "Destination": {
                "Address": [ "192.0.2.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": ["203.0.113.0/24"]
            }
        },
        "Ingress": {
            "Destination": {
                "Address": [ "198.51.100.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                 ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": [ "203.0.113.0/24" ]
            }
        }
     }
]
```

## Hinweis
<a name="asff-note"></a>

Das [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html)Objekt gibt eine benutzerdefinierte Notiz an, die Sie zu einem Ergebnis hinzufügen können.

Ein Ergebnisanbieter kann eine erste Notiz für ein Ergebnis bereitstellen, aber danach können keine Notizen hinzugefügt werden. Sie können eine Notiz nur mit [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)aktualisieren.

**Beispiel**

```
"Note": {
    "Text": "Don't forget to check under the mat.",
    "UpdatedBy": "jsmith",
    "UpdatedAt": "2018-08-31T00:15:09Z"
}
```

## PatchSummary
<a name="asff-patchsummary"></a>

Das [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html)Objekt bietet eine Zusammenfassung des Patch-Konformitätsstatus einer Instanz anhand eines ausgewählten Konformitätsstandards.

**Beispiel**

```
"PatchSummary" : {
    "FailedCount" : 0,
    "Id" : "pb-123456789098",
    "InstalledCount" : 100,
    "InstalledOtherCount" : 1023,
    "InstalledPendingReboot" : 0,
    "InstalledRejectedCount" : 0,
    "MissingCount" : 100,
    "Operation" : "Install",
    "OperationEndTime" : "2018-09-27T23:39:31Z",
    "OperationStartTime" : "2018-09-27T23:37:31Z",
    "RebootOption" : "RebootIfNeeded"
}
```

## Prozess
<a name="asff-process"></a>

Das [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html)Objekt stellt prozessbezogene Details zu einem Ergebnis bereit.

Beispiel:

```
"Process": {
    "LaunchedAt": "2018-09-27T22:37:31Z",
    "Name": "syslogd",
    "ParentPid": 56789,
    "Path": "/usr/sbin/syslogd",
    "Pid": 12345,
    "TerminatedAt": "2018-09-27T23:37:31Z"
}
```

## ProcessedAt
<a name="asff-processedat"></a>

Zeigt an, wann Security Hub CSPM ein Ergebnis erhalten hat und mit dessen Verarbeitung begonnen hat.

Dies unterscheidet sich von `CreatedAt` und`UpdatedAt`, bei denen es sich um erforderliche Zeitstempel handelt, die sich auf die Interaktion des Ermittlungsanbieters mit dem Sicherheitsproblem und dem Ergebnis beziehen. Der `ProcessedAt` Zeitstempel gibt an, wann Security Hub CSPM mit der Verarbeitung eines Ergebnisses beginnt. Nach Abschluss der Verarbeitung wird ein Ergebnis im Konto eines Benutzers angezeigt.

```
"ProcessedAt": "2023-03-23T13:22:13.933Z"
```

## ProductFields
<a name="asff-productfields"></a>

Ein Datentyp, bei dem Produkte mit Sicherheitsergebnissen zusätzliche lösungsspezifische Details enthalten können, die nicht Teil des definierten AWS Sicherheitsfindungsformats sind.

`ProductFields`Enthält Informationen zur Kontrolle für Ergebnisse, die von Security Hub CSPM-Kontrollen generiert wurden. Siehe [Generierung und Aktualisierung von Kontrollbefunden](controls-findings-create-update.md).

Dieses Feld sollte keine redundanten Daten enthalten und darf keine Daten enthalten, die mit Feldern im AWS Security Finding Format in Konflikt stehen.

Das Präfix `aws/` "" steht für einen reservierten Namespace, der nur für AWS Produkte und Dienstleistungen reserviert ist und darf nicht zusammen mit Ergebnissen aus Integrationen von Drittanbietern eingereicht werden.

Auch wenn dies nicht unbedingt erforderlich ist, sollten Produkte Feldnamen wir folgt formatieren: `company-id/product-id/field-name`. Dabei sollten die `company-id` und `product-id` den Angaben im `ProductArn` des Fundes entsprechen.

Die Felder, auf die verwiesen wird, `Archival` werden verwendet, wenn Security Hub CSPM ein vorhandenes Ergebnis archiviert. Security Hub CSPM archiviert beispielsweise vorhandene Ergebnisse, wenn Sie eine Kontrolle oder einen Standard deaktivieren und wenn Sie [konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings) ein- oder ausschalten.

Dieses Feld kann auch Informationen über den Standard enthalten, der die Kontrolle beinhaltet, die zu dem Ergebnis geführt hat.

**Beispiel**

```
"ProductFields": {
    "API", "DeleteTrail",
    "ArchivalReasons:0/Description": "The finding is in an ARCHIVED state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.",
    "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE",
    "aws/inspector/AssessmentTargetName": "My prod env",
    "aws/inspector/AssessmentTemplateName": "My daily CVE assessment",
    "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures",
    "generico/secure-pro/Action.Type", "AWS_API_CALL",
    "generico/secure-pro/Count": "6",
    "Service_Name": "cloudtrail.amazonaws.com"
}
```

## ProductName
<a name="asff-productname"></a>

Gibt den Namen des Produkts an, das den Befund generiert hat. Für Ergebnisse, die auf Kontrollen basieren, lautet der Produktname Security Hub CSPM.

Security Hub CSPM füllt dieses Attribut automatisch für jeden Befund aus. Sie können es nicht mit oder aktualisieren. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) Die Ausnahme ist, wenn Sie eine benutzerdefinierte Integration verwenden. Siehe [Integration von Security Hub CSPM mit kundenspezifischen Produkten](securityhub-custom-providers.md).

Wenn Sie die Security Hub CSPM-Konsole verwenden, um Ergebnisse nach Produktnamen zu filtern, verwenden Sie dieses Attribut.

Wenn Sie die Security Hub CSPM-API verwenden, um Ergebnisse nach Produktnamen zu filtern, verwenden Sie das `aws/securityhub/ProductName` Attribut unter. `ProductFields`

Security Hub CSPM synchronisiert diese beiden Attribute nicht.

## RecordState
<a name="asff-recordstate"></a>

Stellt den Datensatzstatus eines Ergebnisses bereit. 

Standardmäßig werden Funde als `ACTIVE` erachtet, wenn sie anfangs von einem Service generiert werden.

Der Status `ARCHIVED` gibt an, dass ein Fund nicht mehr sichtbar sein sollte. Archivierte Ergebnisse werden nicht sofort gelöscht. Sie können sie suchen, überprüfen und darüber berichten. Security Hub CSPM archiviert automatisch kontrollbasierte Ergebnisse, wenn die zugehörige Ressource gelöscht wird, die Ressource nicht existiert oder die Kontrolle deaktiviert ist.

`RecordState`ist für die Suche nach Anbietern vorgesehen und kann nur mithilfe dieses Vorgangs aktualisiert werden. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) Sie können es nicht mithilfe des [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)Vorgangs aktualisieren.

Um den Status Ihrer Untersuchung zu einem Ergebnis nachzuverfolgen, verwenden Sie [`Workflow`](#asff-workflow)statt`RecordState`.

Wenn sich der Datensatzstatus von `ARCHIVED` zu `ACTIVE` ändert und der Workflow-Status des Ergebnisses `NOTIFIED` oder lautet`RESOLVED`, ändert Security Hub CSPM den Workflow-Status automatisch in. `NEW`

**Beispiel**

```
"RecordState": "ACTIVE"
```

## Region
<a name="asff-region"></a>

Gibt das an, AWS-Region aus dem das Ergebnis generiert wurde.

Security Hub CSPM füllt dieses Attribut automatisch für jeden Befund aus. Sie können es nicht mit oder aktualisieren. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)

**Beispiel**

```
"Region": "us-west-2"
```

## RelatedFindings
<a name="asff-relatedfindings"></a>

Stellt eine Liste von Ergebnissen bereit, die sich auf das aktuelle Ergebnis beziehen.

`RelatedFindings`sollte nur mit der [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API-Operation aktualisiert werden. Sie sollten dieses Objekt nicht mit aktualisieren [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).

Für [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)Anfragen sollte die Suche nach Anbietern das `RelatedFindings` Objekt unter verwenden [`FindingProviderFields`](#asff-findingproviderfields).

Beschreibungen der `RelatedFindings` Attribute finden Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html)in der *AWS Security Hub API-Referenz*.

**Beispiel**

```
"RelatedFindings": [
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "123e4567-e89b-12d3-a456-426655440000" },
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "AcmeNerfHerder-111111111111-x189dx7824" }
]
```

## RiskAssessment
<a name="asff-riskassessment"></a>

**Beispiel**

```
"RiskAssessment": {
    "Posture": {
        "FindingTotal": 4,
        "Indicators": [
            {
                "Type": "Reachability",
                "Findings": [
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/1234567890abcdef0",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    },
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/abcdef01234567890",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    }
                ]
            },
            {
                "Type": "Vulnerability",
                "Findings": [
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345abcdef6789",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    },
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345ghijkl6789",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    }
                ]
            }
        ]
    }
}
```

## Abhilfe
<a name="asff-remediation"></a>

Das Objekt [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html) enthält Informationen zu empfohlenen Behebungsschritten für das Problem.

**Beispiel**

```
"Remediation": {
    "Recommendation": {
        "Text": "For instructions on how to fix this issue, see the AWS Security Hub CSPM documentation for EC2.2.",
        "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation"
    }
}
```

## Beispiel
<a name="asff-sample"></a>

Gibt an, ob es sich bei dem Ergebnis um ein Beispielergebnis handelt.

```
"Sample": true
```

## SourceUrl
<a name="asff-sourceurl"></a>

Das `SourceUrl` Objekt stellt eine URL bereit, die auf eine Seite verweist, die sich mit dem aktuellen Ergebnis im gefundenen Produkt befasst.

```
"SourceUrl": "http://sourceurl.com"
```

## ThreatIntelIndicators
<a name="asff-threatintelindicators"></a>

Das [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html)Objekt stellt Bedrohungsinformationen bereit, die sich auf einen Befund beziehen.

**Beispiel**

```
"ThreatIntelIndicators": [
  {
    "Category": "BACKDOOR",
    "LastObservedAt": "2018-09-27T23:37:31Z",
    "Source": "Threat Intel Weekly",
    "SourceUrl": "http://threatintelweekly.org/backdoors/8888",
    "Type": "IPV4_ADDRESS",
    "Value": "8.8.8.8",
  }
]
```

## Bedrohungen
<a name="asff-threats"></a>

Das [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html)Objekt enthält Details zu der Bedrohung, die durch einen Befund erkannt wurde.

**Beispiel**

```
"Threats": [{
    "FilePaths": [{
        "FileName": "b.txt",
        "FilePath": "/tmp/b.txt",
        "Hash": "sha256",
        "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f"
    }],
    "ItemCount": 3,
    "Name": "Iot.linux.mirai.vwisi",
    "Severity": "HIGH"
}]
```

## UserDefinedFields
<a name="asff-userdefinedfields"></a>

Stellt eine Liste von Zeichenfolgenpaaren aus Name und Wert bereit, die dem Befund zugeordnet sind. Dies sind individuelle, benutzerdefinierte Felder, die einem Fund hinzugefügt werden. Diese Felder können anhand Ihrer spezifischen Konfiguration automatisch generiert werden.

Bei der Suche nach Anbietern sollte dieses Feld nicht für Daten verwendet werden, die das Produkt generiert. Stattdessen kann das `ProductFields` Feld bei der Suche nach Anbietern für Daten verwendet werden, die keinem Standardfeld im Format für AWS Sicherheitssuche zugeordnet sind.

Diese Felder können nur mit [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) aktualisiert werden.

**Beispiel**

```
"UserDefinedFields": {
    "reviewedByCio": "true",
    "comeBackToLater": "Check this again on Monday"
}
```

## VerificationState
<a name="asff-verificationstate"></a>

Stellt den Wahrheitsgehalt eines Ergebnisses sicher. Finds-Produkte können `UNKNOWN` für dieses Feld einen Wert von angeben. Ein Ergebnisprodukt sollte einen Wert für dieses Feld liefern, wenn das System des Ergebnisprodukts ein aussagekräftiges Analogon enthält. Dieses Feld wird in der Regel durch eine Benutzerentscheidung oder eine Aktion nach der Untersuchung eines Ergebnisses gefüllt.

Ein Ergebnisanbieter kann einen Anfangswert für dieses Attribut bereitstellen, es danach aber nicht aktualisieren. Sie können dieses Attribut nur aktualisieren, indem Sie [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

```
"VerificationState": "Confirmed"
```

## Schwachstellen
<a name="asff-vulnerabilities"></a>

Das [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html)Objekt enthält eine Liste von Sicherheitslücken, die mit einem Befund verknüpft sind.

**Beispiel**

```
"Vulnerabilities" : [
    {
        "CodeVulnerabilities": [{
            "Cwes": [
                "CWE-798",
                "CWE-799"
            ],
            "FilePath": {
                "EndLine": 421,
                "FileName": "package-lock.json",
                "FilePath": "package-lock.json",
                "StartLine": 420
            },
                "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114"
        }],
        "Cvss": [
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
                "Version": "V3"
            },
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N",
                "Version": "V2"
            }
        ],
        "EpssScore": 0.015,
        "ExploitAvailable": "YES",
        "FixAvailable": "YES",
        "Id": "CVE-2020-12345",
        "LastKnownExploitAt": "2020-01-16T00:01:35Z",
        "ReferenceUrls":[
           "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418",
            "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563"
        ],
        "RelatedVulnerabilities": ["CVE-2020-12345"],
        "Vendor": {
            "Name": "Alas",
            "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html",
            "VendorCreatedAt":"2020-01-16T00:01:43Z",
            "VendorSeverity":"Medium",
            "VendorUpdatedAt":"2020-01-16T00:01:43Z"
        },
        "VulnerablePackages": [
            {
                "Architecture": "x86_64",
                "Epoch": "1",
                "FilePath": "/tmp",
                "FixedInVersion": "0.14.0",
                "Name": "openssl",
                "PackageManager": "OS",
                "Release": "16.amzn2.0.3",
                "Remediation": "Update aws-crt to 0.14.0",
                "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id",
                "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001",
                "Version": "1.0.2k"
            }
        ]
    }
]
```

## Workflow
<a name="asff-workflow"></a>

Das [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html)-Objekt bietet Informationen über den Status der Untersuchung zu einem Ergebnis.

Dieses Feld ist für Kunden zur Verwendung mit Tools zur Problembehebung, Orchestrierung und Ticketausstellung vorgesehen. Es ist nicht für die Suche nach Anbietern bestimmt.

Sie können das Feld nur mit aktualisieren. `Workflow` [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) Kunden können ihn auch über die Konsole aktualisieren. Siehe [Den Workflow-Status von Ergebnissen in Security Hub CSPM festlegen](findings-workflow-status.md).

**Beispiel**

```
"Workflow": {
    "Status": "NEW"
}
```

## WorkflowState (Im Ruhestand)
<a name="asff-workflowstate"></a>

Dieses Objekt ist ausgemustert und wurde durch das `Status` Feld des `Workflow` Objekts ersetzt.

Dieses Feld gibt den Workflow-Status eines Ergebnisses an. Funde generierende Produkte können in diesem Feld den Wert `NEW` angeben. Ein Funde generierendes Produkte kann einen Wert in diesem Feld angeben, wenn es ein aussagekräftiges Analogon im System des Produkts gibt.

**Beispiel**

```
"WorkflowState": "NEW"
```

# ResourcesASFF-Objekt
<a name="asff-resources"></a>

Im AWS Security Finding Format (ASFF) stellt das `Resources` Objekt Informationen zu den Ressourcen bereit, die an einem Befund beteiligt waren. Es enthält ein Array von bis zu 32 Ressourcenobjekten. Informationen zur Formatierung von Ressourcennamen finden Sie unter[AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md). Beispiele für jedes Ressourcenobjekt finden Sie, wenn Sie eine Ressource aus der folgenden Liste auswählen.

**Topics**
+ [

# Ressourcenattribute im ASFF
](asff-resources-attributes.md)
+ [

# AwsAmazonMQRessourcen in ASFF
](asff-resourcedetails-awsamazonmq.md)
+ [

# AwsApiGatewayRessourcen in ASFF
](asff-resourcedetails-awsapigateway.md)
+ [

# AwsAppSyncRessourcen in ASFF
](asff-resourcedetails-awsappsync.md)
+ [

# AwsAthenaRessourcen in ASFF
](asff-resourcedetails-awsathena.md)
+ [

# AwsAutoScalingRessourcen in ASFF
](asff-resourcedetails-awsautoscaling.md)
+ [

# AwsBackupRessourcen in ASFF
](asff-resourcedetails-awsbackup.md)
+ [

# AwsCertificateManagerRessourcen in ASFF
](asff-resourcedetails-awscertificatemanager.md)
+ [

# AwsCloudFormationRessourcen in ASFF
](asff-resourcedetails-awscloudformation.md)
+ [

# AwsCloudFrontRessourcen in ASFF
](asff-resourcedetails-awscloudfront.md)
+ [

# AwsCloudTrailRessourcen in ASFF
](asff-resourcedetails-awscloudtrail.md)
+ [

# AwsCloudWatchRessourcen in ASFF
](asff-resourcedetails-awscloudwatch.md)
+ [

# AwsCodeBuildRessourcen in ASFF
](asff-resourcedetails-awscodebuild.md)
+ [

# AwsDmsRessourcen in ASFF
](asff-resourcedetails-awsdms.md)
+ [

# AwsDynamoDBRessourcen in ASFF
](asff-resourcedetails-awsdynamodb.md)
+ [

# AwsEc2Ressourcen in ASFF
](asff-resourcedetails-awsec2.md)
+ [

# AwsEcrRessourcen in ASFF
](asff-resourcedetails-awsecr.md)
+ [

# AwsEcsRessourcen in ASFF
](asff-resourcedetails-awsecs.md)
+ [

# AwsEfsRessourcen in ASFF
](asff-resourcedetails-awsefs.md)
+ [

# AwsEksRessourcen in ASFF
](asff-resourcedetails-awseks.md)
+ [

# AwsElasticBeanstalkRessourcen in ASFF
](asff-resourcedetails-awselasticbeanstalk.md)
+ [

# AwsElasticSearchRessourcen in ASFF
](asff-resourcedetails-awselasticsearch.md)
+ [

# AwsElbRessourcen in ASFF
](asff-resourcedetails-awselb.md)
+ [

# AwsEventBridgeRessourcen in ASFF
](asff-resourcedetails-awsevent.md)
+ [

# AwsGuardDutyRessourcen in ASFF
](asff-resourcedetails-awsguardduty.md)
+ [

# AwsIamRessourcen in ASFF
](asff-resourcedetails-awsiam.md)
+ [

# AwsKinesisRessourcen in ASFF
](asff-resourcedetails-awskinesis.md)
+ [

# AwsKmsRessourcen in ASFF
](asff-resourcedetails-awskms.md)
+ [

# AwsLambda
](asff-resourcedetails-awslambda.md)
+ [

# AwsMskRessourcen in ASFF
](asff-resourcedetails-awsmsk.md)
+ [

# AwsNetworkFirewallRessourcen in ASFF
](asff-resourcedetails-awsnetworkfirewall.md)
+ [

# AwsOpenSearchServiceRessourcen in ASFF
](asff-resourcedetails-awsopensearchservice.md)
+ [

# AwsRdsRessourcen in ASFF
](asff-resourcedetails-awsrds.md)
+ [

# AwsRedshiftRessourcen in ASFF
](asff-resourcedetails-awsredshift.md)
+ [

# AwsRoute53Ressourcen in ASFF
](asff-resourcedetails-awsroute53.md)
+ [

# AwsS3Ressourcen in ASFF
](asff-resourcedetails-awss3.md)
+ [

# AwsSageMakerRessourcen in ASFF
](asff-resourcedetails-awssagemaker.md)
+ [

# AwsSecretsManagerRessourcen in ASFF
](asff-resourcedetails-awssecretsmanager.md)
+ [

# AwsSnsRessourcen in ASFF
](asff-resourcedetails-awssns.md)
+ [

# AwsSqsRessourcen in ASFF
](asff-resourcedetails-awssqs.md)
+ [

# AwsSsmRessourcen in ASFF
](asff-resourcedetails-awsssm.md)
+ [

# AwsStepFunctionsRessourcen in ASFF
](asff-resourcedetails-awsstepfunctions.md)
+ [

# AwsWafRessourcen in ASFF
](asff-resourcedetails-awswaf.md)
+ [

# AwsXrayRessourcen in ASFF
](asff-resourcedetails-awsxray.md)
+ [

# CodeRepositoryObjekt in ASFF
](asff-resourcedetails-coderepository.md)
+ [

# ContainerObjekt in ASFF
](asff-resourcedetails-container.md)
+ [

# OtherObjekt in ASFF
](asff-resourcedetails-other.md)

# Ressourcenattribute im ASFF
<a name="asff-resources-attributes"></a>

Hier finden Sie Beschreibungen und Beispiele für das `Resources` Objekt im AWS Security Finding Format (ASFF). Weitere Informationen zu diesen Feldern finden Sie unter [Ressourcen](asff-required-attributes.md#Resources).

## ApplicationArn
<a name="asff-resources-applicationarn"></a>

Identifiziert den Amazon-Ressourcennamen (ARN) der Anwendung, die an der Suche beteiligt war.

**Beispiel**

```
"ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0"
```

## ApplicationName
<a name="asff-resources-applicationname"></a>

Identifiziert den Namen der Anwendung, die an der Entdeckung beteiligt war.

**Beispiel**

```
"ApplicationName": "SampleApp"
```

## DataClassification
<a name="asff-resources-dataclassification"></a>

Das [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DataClassificationDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DataClassificationDetails.html)Feld enthält Informationen über vertrauliche Daten, die auf der Ressource erkannt wurden.

**Beispiel**

```
"DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2,
                 }
            ],
            "TotalCount": 2
        }
    }
}
```

## Details
<a name="asff-resources-details"></a>

Das [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html)Feld enthält zusätzliche Informationen über eine einzelne Ressource, die die entsprechenden Objekte verwendet. Jede Ressource muss in einem separaten Ressourcenobjekt im `Resources` Objekt bereitgestellt werden.

Beachten Sie, dass das `Details` Objekt aus dem Ergebnis entfernt wird, wenn die Ergebnisgröße das Maximum von 240 KB überschreitet. Für Kontrollergebnisse, die AWS Config Regeln verwenden, können Sie sich die Ressourcendetails in der AWS Config Konsole ansehen.

Security Hub CSPM bietet eine Reihe verfügbarer Ressourcendetails für die unterstützten Ressourcentypen. Diese Details entsprechen den Werten des `Type` Objekts. Verwenden Sie nach Möglichkeit die bereitgestellten Typen.

Wenn es sich bei der Ressource beispielsweise um einen S3-Bucket handelt, legen Sie die Ressource `Type` auf fest `AwsS3Bucket` und geben Sie die Ressourcendetails im [`AwsS3Bucket`](asff-resourcedetails-awss3.md#asff-resourcedetails-awss3bucket)Objekt an.

Mit dem [`Other`](asff-resourcedetails-other.md)Objekt können Sie benutzerdefinierte Felder und Werte angeben. Sie verwenden das `Other` Objekt in den folgenden Fällen:
+ Der Ressourcentyp (der Wert der Ressource`Type`) hat kein entsprechendes Detailobjekt. Um Details für die Ressource bereitzustellen, verwenden Sie das [`Other`](asff-resourcedetails-other.md)Objekt.
+ Das Objekt für den Ressourcentyp enthält nicht alle Felder, die Sie auffüllen möchten. Verwenden Sie in diesem Fall das Detailobjekt für den Ressourcentyp, um die verfügbaren Felder auszufüllen. Verwenden Sie das `Other` Objekt, um die Felder aufzufüllen, die sich nicht im typspezifischen Objekt befinden.
+ Der Ressourcentyp gehört nicht zu den angegebenen Typen. Stellen Sie in diesem Fall `Resource.Type` auf ein und verwenden Sie das `Other` Objekt`Other`, um die Details aufzufüllen.

**Beispiel**

```
"Details": {
  "AwsEc2Instance": {
    "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
    "ImageId": "ami-79fd7eee",
    "IpV4Addresses": ["1.1.1.1"],
    "IpV6Addresses": ["2001:db8:1234:1a2b::123"],
    "KeyName": "testkey",
    "LaunchedAt": "2018-09-29T01:25:54Z",
    "MetadataOptions": {
      "HttpEndpoint": "enabled",
      "HttpProtocolIpv6": "enabled",
      "HttpPutResponseHopLimit": 1,
      "HttpTokens": "optional",
      "InstanceMetadataTags": "disabled"
    },
    "NetworkInterfaces": [
    {
      "NetworkInterfaceId": "eni-e5aa89a3"
    }
    ],
    "SubnetId": "PublicSubnet",
    "Type": "i3.xlarge",
    "VirtualizationType": "hvm",
    "VpcId": "TestVPCIpv6"
  },
  "AwsS3Bucket": {
    "OwnerId": "da4d66eac431652a4d44d490a00500bded52c97d235b7b4752f9f688566fe6de",
    "OwnerName": "acmes3bucketowner"
  },
  "Other": { "LightPen": "blinky", "SerialNo": "1234abcd"}  
}
```

## Id
<a name="asff-resources-id"></a>

Der Bezeichner für den angegebenen Ressourcentyp.

Für AWS Ressourcen, die durch Amazon Resource Names (ARNs) identifiziert werden, ist dies der ARN.

Für AWS Ressourcen, die fehlen ARNs, ist dies die Kennung, wie sie von dem AWS Service definiert wurde, der die Ressource erstellt hat.

Bei AWS Nicht-Ressourcen ist dies eine eindeutige Kennung, die der Ressource zugeordnet ist.

**Beispiel**

```
"Id": "arn:aws:s3:::amzn-s3-demo-bucket"
```

## Partition
<a name="asff-resources-partition"></a>

Die Partition, in der sich die Ressource befindet. Eine Partition ist eine Gruppe von AWS-Regionen. Jede AWS-Konto ist auf eine Partition beschränkt.

Die folgenden Partitionen werden unterstützt:
+ `aws` – AWS-Regionen
+ `aws-cn` – China-Regionen
+ `aws-us-gov` – AWS GovCloud (US) Region

**Beispiel**

```
"Partition": "aws"
```

## Region
<a name="asff-resources-region"></a>

Der Code für den AWS-Region Ort, an dem sich diese Ressource befindet. Eine Liste der Regionscodes finden Sie unter [Regionale Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints).

**Beispiel**

```
"Region": "us-west-2"
```

## ResourceRole
<a name="asff-resources-resourcerole"></a>

Identifiziert die Rolle der Ressource bei dem Ergebnis. Eine Ressource ist entweder das Ziel der Suchaktivität oder der Akteur, der die Aktivität ausgeführt hat.

**Beispiel**

```
"ResourceRole": "target"
```

## Tags (Markierungen)
<a name="asff-resources-tags"></a>

Dieses Feld enthält Informationen zu Schlüsselwörtern und Werten für die Ressource, die an einem Ergebnis beteiligt war. Sie können [Ressourcen taggen, die vom `GetResources` Betrieb der AWS -Ressourcengruppen Tagging-API unterstützt werden](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html). Security Hub CSPM ruft diesen Vorgang über die [dienstverknüpfte Rolle](using-service-linked-roles.md) auf und ruft die Ressourcen-Tags ab, wenn das `Resource.Id` Feld AWS Security Finding Format (ASFF) mit dem Ressourcen-ARN gefüllt ist. AWS Ungültige Ressourcen werden ignoriert. IDs 

Sie können Ressourcen-Tags zu Ergebnissen hinzufügen, die Security Hub CSPM aufnimmt, einschließlich Ergebnissen aus integrierten Produkten AWS-Services und Produkten von Drittanbietern.

Wenn Sie Tags hinzufügen, erfahren Sie, welche Tags einer Ressource zum Zeitpunkt der Verarbeitung des Ergebnisses zugeordnet waren. Sie können das `Tags` Attribut nur für Ressourcen einbeziehen, denen ein Tag zugeordnet ist. Wenn eine Ressource keine zugeordneten Tags hat, beziehen Sie beim Fund kein `Tags`-Attribut mit ein.

Durch die Aufnahme von Ressourcen-Tags in die Ergebnisse entfällt die Notwendigkeit, Pipelines zur Datenanreicherung zu erstellen oder die Metadaten von Sicherheitsergebnissen manuell anzureichern. Sie können Tags auch verwenden, um Ergebnisse und Erkenntnisse zu suchen oder zu filtern und [Automatisierungsregeln](automation-rules.md) zu erstellen.

Informationen zu Einschränkungen, die für Tags gelten, finden Sie unter [Einschränkungen und Anforderungen für die Benennung von Tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).

In diesem Feld können Sie nur Tags angeben, die auf einer AWS Ressource vorhanden sind. Verwenden Sie das Unterfeld „`Other`Details“, um Daten bereitzustellen, die nicht im AWS Security Finding Format definiert sind.

**Beispiel**

```
"Tags": {
    "billingCode": "Lotus-1-2-3",
    "needsPatching": "true"
}
```

## Typ
<a name="asff-resources-type"></a>

Der Ressourcentyp, für den Sie Details angeben.

Verwenden Sie nach Möglichkeit einen der bereitgestellten Ressourcentypen, z. B. `AwsEc2Instance` oder `AwsS3Bucket`.

Wenn der Ressourcentyp keinem der angegebenen Ressourcentypen entspricht, legen Sie die Ressource `Type` auf `Other` fest und füllen Sie die `Other` Details im Unterfeld „Details“ aus.

[Unterstützte Werte sind unter Ressourcen aufgeführt.](asff-resources.md)

**Beispiel**

```
"Type": "AwsS3Bucket"
```

# AwsAmazonMQRessourcen in ASFF
<a name="asff-resourcedetails-awsamazonmq"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsAmazonMQ` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsAmazonMQBroker
<a name="asff-resourcedetails-awsamazonmqbroker"></a>

`AwsAmazonMQBroker`bietet Informationen über einen Amazon MQ-Broker, eine Message-Broker-Umgebung, die auf Amazon MQ ausgeführt wird.

Das folgende Beispiel zeigt den ASFF für das Objekt. `AwsAmazonMQBroker` Beschreibungen der `AwsAmazonMQBroker` Attribute finden Sie [AwsAmazonMQBroker](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAmazonMQBrokerDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsAmazonMQBroker": {
    "AutoMinorVersionUpgrade": true,
    "BrokerArn": "arn:aws:mq:us-east-1:123456789012:broker:TestBroker:b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "BrokerId": "b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "BrokerName": "TestBroker",
    "Configuration": {
        "Id": "c-a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
        "Revision": 1
    },
    "DeploymentMode": "ACTIVE_STANDBY_MULTI_AZ",
    "EncryptionOptions": {
        "UseAwsOwnedKey": true
    },
    "EngineType": "ActiveMQ",
    "EngineVersion": "5.17.2",
    "HostInstanceType": "mq.t2.micro",
    "Logs": {
        "Audit": false,
        "AuditLogGroup": "/aws/amazonmq/broker/b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111/audit",
        "General": false,
        "GeneralLogGroup": "/aws/amazonmq/broker/b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111/general"
    },
    "MaintenanceWindowStartTime": {
        "DayOfWeek": "MONDAY",
        "TimeOfDay": "22:00",
        "TimeZone": "UTC"
    },
    "PubliclyAccessible": true,
    "SecurityGroups": [
        "sg-021345abcdef6789"
    ],
    "StorageType": "efs",
    "SubnetIds": [
        "subnet-1234567890abcdef0",
        "subnet-abcdef01234567890"
    ],
    "Users": [
        {
            "Username": "admin"
        }
    ]
}
```

# AwsApiGatewayRessourcen in ASFF
<a name="asff-resourcedetails-awsapigateway"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsApiGateway` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsApiGatewayRestApi
<a name="asff-resourcedetails-awsapigatewayrestapi"></a>

Das `AwsApiGatewayRestApi` Objekt enthält Informationen über eine REST-API in Version 1 von Amazon API Gateway.

Im Folgenden finden Sie ein Beispiel für einen `AwsApiGatewayRestApi` Befund im AWS Security Finding Format (ASFF). Beschreibungen der `AwsApiGatewayRestApi` Attribute finden Sie [AwsApiGatewayRestApiDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayRestApiDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
AwsApiGatewayRestApi: {
    "Id": "exampleapi",
    "Name": "Security Hub",
    "Description": "AWS Security Hub",
    "CreatedDate": "2018-11-18T10:20:05-08:00",
    "Version": "2018-10-26",
    "BinaryMediaTypes" : ["-'*~1*'"],
    "MinimumCompressionSize": 1024,
    "ApiKeySource": "AWS_ACCOUNT_ID",
    "EndpointConfiguration": {
        "Types": [
            "REGIONAL"
        ]
    }
}
```

## AwsApiGatewayStage
<a name="asff-resourcedetails-awsapigatewaystage"></a>

Das `AwsApiGatewayStage` Objekt stellt Informationen zu einer Amazon API Gateway Gateway-Stufe der Version 1 bereit.

Im Folgenden finden Sie ein Beispiel für einen `AwsApiGatewayStage` Befund im AWS Security Finding Format (ASFF). Beschreibungen der `AwsApiGatewayStage` Attribute finden Sie [AwsApiGatewayStageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayStageDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsApiGatewayStage": {
    "DeploymentId": "n7hlmf",
    "ClientCertificateId": "a1b2c3", 
    "StageName": "Prod",
    "Description" : "Stage Description",
    "CacheClusterEnabled": false,
    "CacheClusterSize" : "1.6",
    "CacheClusterStatus": "NOT_AVAILABLE",
    "MethodSettings": [
        {
            "MetricsEnabled": true,
            "LoggingLevel": "INFO",
            "DataTraceEnabled": false,
            "ThrottlingBurstLimit": 100,
            "ThrottlingRateLimit": 5.0,
            "CachingEnabled": false,
            "CacheTtlInSeconds": 300,
            "CacheDataEncrypted": false,
            "RequireAuthorizationForCacheControl": true,
            "UnauthorizedCacheControlHeaderStrategy": "SUCCEED_WITH_RESPONSE_HEADER",
            "HttpMethod": "POST",
            "ResourcePath": "/echo"
        }
    ],
    "Variables": {"test": "value"},
    "DocumentationVersion": "2.0",
    "AccessLogSettings": {
        "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }",
        "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod"
    },
    "CanarySettings": {
        "PercentTraffic": 0.0,
        "DeploymentId": "ul73s8",
        "StageVariableOverrides" : [
            "String" : "String"
        ],
        "UseStageCache": false
    },
    "TracingEnabled": false,
    "CreatedDate": "2018-07-11T10:55:18-07:00",
    "LastUpdatedDate": "2020-08-26T11:51:04-07:00",
    "WebAclArn" : "arn:aws:waf-regional:us-west-2:111122223333:webacl/cb606bd8-5b0b-4f0b-830a-dd304e48a822"
}
```

## AwsApiGatewayV2Api
<a name="asff-resourcedetails-awsapigatewayv2api"></a>

Das `AwsApiGatewayV2Api` Objekt enthält Informationen über eine API der Version 2 in Amazon API Gateway.

Im Folgenden finden Sie ein Beispiel für einen `AwsApiGatewayV2Api` Befund im AWS Security Finding Format (ASFF). Beschreibungen von `AwsApiGatewayV2Api` Attributen finden Sie unter [AwsApiGatewayV2 ApiDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayV2ApiDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsApiGatewayV2Api": {
    "ApiEndpoint": "https://example.us-west-2.amazonaws.com",
    "ApiId": "a1b2c3d4",
    "ApiKeySelectionExpression": "$request.header.x-api-key",
    "CreatedDate": "2020-03-28T00:32:37Z",
   "Description": "ApiGatewayV2 Api",
   "Version": "string",
    "Name": "my-api",
    "ProtocolType": "HTTP",
    "RouteSelectionExpression": "$request.method $request.path",
   "CorsConfiguration": {
        "AllowOrigins": [ "*" ],
        "AllowCredentials": true,
        "ExposeHeaders": [ "string" ],
        "MaxAge": 3000,
        "AllowMethods": [
          "GET",
          "PUT",
          "POST",
          "DELETE",
          "HEAD"
        ],
        "AllowHeaders": [ "*" ]
    }
}
```

## AwsApiGatewayV2-Stufe
<a name="asff-resourcedetails-awsapigatewayv2stage"></a>

`AwsApiGatewayV2Stage`enthält Informationen über eine Version 2-Stufe für Amazon API Gateway.

Im Folgenden finden Sie ein Beispiel für einen `AwsApiGatewayV2Stage` Befund im AWS Security Finding Format (ASFF). Beschreibungen von `AwsApiGatewayV2Stage` Attributen finden Sie unter [AwsApiGatewayV2 StageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayV2StageDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsApiGatewayV2Stage": {
    "CreatedDate": "2020-04-08T00:36:05Z",
    "Description" : "ApiGatewayV2",
    "DefaultRouteSettings": {
        "DetailedMetricsEnabled": false,
        "LoggingLevel": "INFO",
        "DataTraceEnabled": true,
        "ThrottlingBurstLimit": 100,
        "ThrottlingRateLimit": 50
    },
    "DeploymentId": "x1zwyv",
    "LastUpdatedDate": "2020-04-08T00:36:13Z",
    "RouteSettings": {
        "DetailedMetricsEnabled": false,
        "LoggingLevel": "INFO",
        "DataTraceEnabled": true,
        "ThrottlingBurstLimit": 100,
        "ThrottlingRateLimit": 50
    },
    "StageName": "prod",
    "StageVariables": [
        "function": "my-prod-function"
    ],
    "AccessLogSettings": {
        "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }",
        "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod"
    },
    "AutoDeploy": false,
    "LastDeploymentStatusMessage": "Message",
    "ApiGatewayManaged": true,
}
```

# AwsAppSyncRessourcen in ASFF
<a name="asff-resourcedetails-awsappsync"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsAppSync` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsAppSyncGraphQLApi
<a name="asff-resourcedetails-awsappsyncgraphqlapi"></a>

`AwsAppSyncGraphQLApi`bietet Informationen über eine AWS AppSync GraphQL-API, bei der es sich um ein Konstrukt der obersten Ebene für Ihre Anwendung handelt.

Das folgende Beispiel zeigt den ASFF für das Objekt. `AwsAppSyncGraphQLApi` Beschreibungen der `AwsAppSyncGraphQLApi` Attribute finden Sie [AwsAppSyncGraphQLApi](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAppSyncGraphQLApiDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsAppSyncGraphQLApi": {
    "AdditionalAuthenticationProviders": [
    {
    	"AuthenticationType": "AWS_LAMBDA",
    	"LambdaAuthorizerConfig": {
    		"AuthorizerResultTtlInSeconds": 300,
    		"AuthorizerUri": "arn:aws:lambda:us-east-1:123456789012:function:mylambdafunc"
    	}
    },
    {
    	"AuthenticationType": "AWS_IAM"
    }
    ],
    "ApiId": "021345abcdef6789",
    "Arn": "arn:aws:appsync:eu-central-1:123456789012:apis/021345abcdef6789",
    "AuthenticationType": "API_KEY",
    "Id": "021345abcdef6789",
    "LogConfig": {
    	"CloudWatchLogsRoleArn": "arn:aws:iam::123456789012:role/service-role/appsync-graphqlapi-logs-eu-central-1",
    	"ExcludeVerboseContent": true,
    	"FieldLogLevel": "ALL"
    },
    "Name": "My AppSync App",
    "XrayEnabled": true,
}
```

# AwsAthenaRessourcen in ASFF
<a name="asff-resourcedetails-awsathena"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsAthena` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsAthenaWorkGroup
<a name="asff-resourcedetails-awsathenaworkgroup"></a>

`AwsAthenaWorkGroup`bietet Informationen über eine Amazon Athena Athena-Arbeitsgruppe. Eine Arbeitsgruppe hilft Ihnen dabei, Benutzer, Teams, Anwendungen oder Workloads voneinander zu trennen. Sie hilft Ihnen auch dabei, Grenzen für die Datenverarbeitung festzulegen und die Kosten nachzuverfolgen.

Das folgende Beispiel zeigt den ASFF für das `AwsAthenaWorkGroup` Objekt. Beschreibungen der `AwsAthenaWorkGroup` Attribute finden Sie [AwsAthenaWorkGroup](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAthenaWorkGroupDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsAthenaWorkGroup": {
    "Description": "My workgroup for prod workloads",
    "Name": "MyWorkgroup",
    "WorkgroupConfiguration" {
        "ResultConfiguration": {
            "EncryptionConfiguration": {
                "EncryptionOption": "SSE_KMS",
                "KmsKey": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            }
        }
    },
        "State": "ENABLED"
}
```

# AwsAutoScalingRessourcen in ASFF
<a name="asff-resourcedetails-awsautoscaling"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsAutoScaling` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsAutoScalingAutoScalingGroup
<a name="asff-resourcedetails-awsautoscalingautoscalinggroup"></a>

Das `AwsAutoScalingAutoScalingGroup` Objekt enthält Details zu einer automatischen Skalierungsgruppe.

Im Folgenden finden Sie ein Beispiel für einen `AwsAutoScalingAutoScalingGroup` Befund im AWS Security Finding Format (ASFF). Beschreibungen der `AwsAutoScalingAutoScalingGroup` Attribute finden Sie [AwsAutoScalingAutoScalingGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAutoScalingAutoScalingGroupDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsAutoScalingAutoScalingGroup": {
        "CreatedTime": "2017-10-17T14:47:11Z",
        "HealthCheckGracePeriod": 300,
        "HealthCheckType": "EC2",
        "LaunchConfigurationName": "mylaunchconf",
        "LoadBalancerNames": [],
        "LaunchTemplate": {                            
            "LaunchTemplateId": "string",
            "LaunchTemplateName": "string",
            "Version": "string"
        },
        "MixedInstancesPolicy": {
            "InstancesDistribution": {
                "OnDemandAllocationStrategy": "prioritized",
                "OnDemandBaseCapacity": number,
                "OnDemandPercentageAboveBaseCapacity": number,
                "SpotAllocationStrategy": "lowest-price",
                "SpotInstancePools": number,
                "SpotMaxPrice": "string"
            },
            "LaunchTemplate": {
                "LaunchTemplateSpecification": {
                    "LaunchTemplateId": "string",
                    "LaunchTemplateName": "string",
                    "Version": "string"
                 },
                "CapacityRebalance": true,
                "Overrides": [
                    {
                       "InstanceType": "string",
                       "WeightedCapacity": "string"
                    }
                ]
            }
        }
    }
}
```

## AwsAutoScalingLaunchConfiguration
<a name="asff-resourcedetails-awsautoscalinglaunchconfiguration"></a>

Das `AwsAutoScalingLaunchConfiguration` Objekt enthält Details zu einer Startkonfiguration.

Im Folgenden finden Sie ein Beispiel für einen `AwsAutoScalingLaunchConfiguration` Befund im AWS Security Finding Format (ASFF).

Beschreibungen der `AwsAutoScalingLaunchConfiguration` Attribute finden Sie [AwsAutoScalingLaunchConfigurationDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAutoScalingLaunchConfigurationDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
AwsAutoScalingLaunchConfiguration: {
    "LaunchConfigurationName": "newtest",
    "ImageId": "ami-058a3739b02263842",
    "KeyName": "55hundredinstance",
    "SecurityGroups": [ "sg-01fce87ad6e019725" ],
    "ClassicLinkVpcSecurityGroups": [],
    "UserData": "...Base64-Encoded user data..."
    "InstanceType": "a1.metal",
    "KernelId": "",
    "RamdiskId": "ari-a51cf9cc",
    "BlockDeviceMappings": [
        {
            "DeviceName": "/dev/sdh",
            "Ebs": {
                "VolumeSize": 30,
                "VolumeType": "gp2",
                "DeleteOnTermination": false,
                "Encrypted": true,
                "SnapshotId": "snap-ffaa1e69",
                "VirtualName": "ephemeral1"
            }
        },
        {
            "DeviceName": "/dev/sdb",
            "NoDevice": true
        },
        {
            "DeviceName": "/dev/sda1",
            "Ebs": {
                "SnapshotId": "snap-02420cd3d2dea1bc0",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "DeleteOnTermination": true,
                "Encrypted": false
            }
        },
        {
            "DeviceName": "/dev/sdi",
            "Ebs": {
                "VolumeSize": 20,
                "VolumeType": "gp2",
                "DeleteOnTermination": false,
                "Encrypted": true
            }
        },
        {
            "DeviceName": "/dev/sdc",
            "NoDevice": true
        }
    ],
    "InstanceMonitoring": {
        "Enabled": false
    },
    "CreatedTime": 1620842933453,
    "EbsOptimized": false,
    "AssociatePublicIpAddress": true,
    "SpotPrice": "0.045"
}
```

# AwsBackupRessourcen in ASFF
<a name="asff-resourcedetails-awsbackup"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsBackup` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsBackupBackupPlan
<a name="asff-resourcedetails-awsbackupbackupplan"></a>

Das `AwsBackupBackupPlan` Objekt stellt Informationen zu einem AWS Backup Backup-Plan bereit. Ein AWS Backup Backup-Plan ist ein Richtlinienausdruck, der definiert, wann und wie Sie Ihre AWS Ressourcen sichern möchten.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsBackupBackupPlan` Objekt. Beschreibungen der `AwsBackupBackupPlan` Attribute finden Sie [AwsBackupBackupPlan](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupBackupPlanDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsBackupBackupPlan": {
    "BackupPlan": {
    	"AdvancedBackupSettings": [{
    		"BackupOptions": {
    			"WindowsVSS":"enabled"
    		},
    		"ResourceType":"EC2"
    	}],
    	"BackupPlanName": "test",
    	"BackupPlanRule": [{
    		"CompletionWindowMinutes": 10080,
    		"CopyActions": [{
    			"DestinationBackupVaultArn": "arn:aws:backup:us-east-1:858726136373:backup-vault:aws/efs/automatic-backup-vault",
    			"Lifecycle": {
    				"DeleteAfterDays": 365,
    				"MoveToColdStorageAfterDays": 30
    			}
    		}],
    		"Lifecycle": {
    			"DeleteAfterDays": 35
    		},
    		"RuleName": "DailyBackups",
    		"ScheduleExpression": "cron(0 5 ? * * *)",
    		"StartWindowMinutes": 480,
    		"TargetBackupVault": "Default"
    		},
    		{
    		"CompletionWindowMinutes": 10080,
    		"CopyActions": [{
    			"DestinationBackupVaultArn": "arn:aws:backup:us-east-1:858726136373:backup-vault:aws/efs/automatic-backup-vault",
    			"Lifecycle": {
    				"DeleteAfterDays": 365,
    				"MoveToColdStorageAfterDays": 30
    			}
    		}],
    		"Lifecycle": {
    			"DeleteAfterDays": 35
    		},
    		"RuleName": "Monthly",
    		"ScheduleExpression": "cron(0 5 1 * ? *)",
    		"StartWindowMinutes": 480,
    		"TargetBackupVault": "Default"
    	}]
    },
    "BackupPlanArn": "arn:aws:backup:us-east-1:858726136373:backup-plan:b6d6b896-590d-4ee1-bf29-c5ccae63f4e7",
    "BackupPlanId": "b6d6b896-590d-4ee1-bf29-c5ccae63f4e7",
    "VersionId": "ZDVjNDIzMjItYTZiNS00NzczLTg4YzctNmExMWM2NjZhY2E1"
}
```

## AwsBackupBackupVault
<a name="asff-resourcedetails-awsbackupbackupvault"></a>

Das `AwsBackupBackupVault` Objekt stellt Informationen zu einem AWS Backup Backup-Tresor bereit. Ein AWS Backup Backup-Tresor ist ein Container, der Ihre Backups speichert und organisiert.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsBackupBackupVault` Objekt. Beschreibungen der `AwsBackupBackupVault` Attribute finden Sie [AwsBackupBackupVault](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupBackupVaultDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsBackupBackupVault": {
    "AccessPolicy": {
    	"Statement": [{
    		"Action": [
    			"backup:DeleteBackupVault",
    			"backup:DeleteBackupVaultAccessPolicy",
    			"backup:DeleteRecoveryPoint",
    			"backup:StartCopyJob",
    			"backup:StartRestoreJob",
    			"backup:UpdateRecoveryPointLifecycle"
    		],
    		"Effect": "Deny",
    		"Principal": {
    			"AWS": "*"
    		},
    		"Resource": "*"
    	}],
    	"Version": "2012-10-17"		 	 	 
    },
    "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:aws/efs/automatic-backup-vault",
    "BackupVaultName": "aws/efs/automatic-backup-vault",
    "EncrytionKeyArn": "arn:aws:kms:us-east-1:444455556666:key/72ba68d4-5e43-40b0-ba38-838bf8d06ca0",
    "Notifications": {
    	"BackupVaultEvents": ["BACKUP_JOB_STARTED", "BACKUP_JOB_COMPLETED", "COPY_JOB_STARTED"],
    	"SNSTopicArn": "arn:aws:sns:us-west-2:111122223333:MyVaultTopic"
    }
}
```

## AwsBackupRecoveryPoint
<a name="asff-resourcedetails-awsbackuprecoverypoint"></a>

Das `AwsBackupRecoveryPoint` Objekt stellt Informationen zu einer AWS Backup Sicherung bereit, die auch als Wiederherstellungspunkt bezeichnet wird. Ein AWS Backup Wiederherstellungspunkt stellt den Inhalt einer Ressource zu einem bestimmten Zeitpunkt dar.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsBackupRecoveryPoint` Objekt. Beschreibungen der `AwsBackupBackupVault` Attribute finden Sie [AwsBackupRecoveryPoint](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupRecoveryPointDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsBackupRecoveryPoint": {
    "BackupSizeInBytes": 0,
    "BackupVaultName": "aws/efs/automatic-backup-vault",
    "BackupVaultArn": "arn:aws:backup:us-east-1:111122223333:backup-vault:aws/efs/automatic-backup-vault",
    "CalculatedLifecycle": {
    	"DeleteAt": "2021-08-30T06:51:58.271Z",
    	"MoveToColdStorageAt": "2020-08-10T06:51:58.271Z"
    },
    "CompletionDate": "2021-07-26T07:21:40.361Z",
    "CreatedBy": {
    	"BackupPlanArn": "arn:aws:backup:us-east-1:111122223333:backup-plan:aws/efs/73d922fb-9312-3a70-99c3-e69367f9fdad",
    	"BackupPlanId": "aws/efs/73d922fb-9312-3a70-99c3-e69367f9fdad",
    	"BackupPlanVersion": "ZGM4YzY5YjktMWYxNC00ZTBmLWE5MjYtZmU5OWNiZmM5ZjIz",
    	"BackupRuleId": "2a600c2-42ad-4196-808e-084923ebfd25"
    },
    "CreationDate": "2021-07-26T06:51:58.271Z",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:111122223333:key/72ba68d4-5e43-40b0-ba38-838bf8d06ca0",
    "IamRoleArn": "arn:aws:iam::111122223333:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup",
    "IsEncrypted": true,
    "LastRestoreTime": "2021-07-26T06:51:58.271Z",
    "Lifecycle": {
    	"DeleteAfterDays": 35,
    	"MoveToColdStorageAfterDays": 15
    },
    "RecoveryPointArn": "arn:aws:backup:us-east-1:111122223333:recovery-point:151a59e4-f1d5-4587-a7fd-0774c6e91268",
    "ResourceArn": "arn:aws:elasticfilesystem:us-east-1:858726136373:file-system/fs-15bd31a1",
    "ResourceType": "EFS",
    "SourceBackupVaultArn": "arn:aws:backup:us-east-1:111122223333:backup-vault:aws/efs/automatic-backup-vault",
    "Status": "COMPLETED",
    "StatusMessage": "Failure message",
    "StorageClass": "WARM"
}
```

# AwsCertificateManagerRessourcen in ASFF
<a name="asff-resourcedetails-awscertificatemanager"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsCertificateManager` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsCertificateManagerCertificate
<a name="asff-resourcedetails-awscertificatemanagercertificate"></a>

Das `AwsCertificateManagerCertificate` Objekt enthält Details zu einem AWS Certificate Manager (ACM-) Zertifikat.

Im Folgenden finden Sie ein Beispiel für einen `AwsCertificateManagerCertificate` Befund im AWS Security Finding Format (ASFF). Beschreibungen der `AwsCertificateManagerCertificate` Attribute finden Sie [AwsCertificateManagerCertificateDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCertificateManagerCertificateDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsCertificateManagerCertificate": {
    "CertificateAuthorityArn": "arn:aws:acm:us-west-2:444455556666:certificate-authority/example",
    "CreatedAt": "2019-05-24T18:12:02.000Z",
    "DomainName": "example.amazondomains.com",
    "DomainValidationOptions": [
        {
            "DomainName": "example.amazondomains.com",
            "ResourceRecord": {
                "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com",
                "Type": "CNAME",
                "Value": "_example.acm-validations.aws."
             },
             "ValidationDomain": "example.amazondomains.com",
             "ValidationEmails": [sample_email@sample.com],
             "ValidationMethod": "DNS",
             "ValidationStatus": "SUCCESS"
        }
    ],
    "ExtendedKeyUsages": [
        {
            "Name": "TLS_WEB_SERVER_AUTHENTICATION",
            "OId": "1.3.6.1.5.5.7.3.1"
        },
        {
            "Name": "TLS_WEB_CLIENT_AUTHENTICATION",
            "OId": "1.3.6.1.5.5.7.3.2"
        }
    ],
    "FailureReason": "",
    "ImportedAt": "2018-08-17T00:13:00.000Z",
    "InUseBy": ["arn:aws:amazondomains:us-west-2:444455556666:loadbalancer/example"],
    "IssuedAt": "2020-04-26T00:41:17.000Z",
    "Issuer": "Amazon",
    "KeyAlgorithm": "RSA-1024",
    "KeyUsages": [
        {
            "Name": "DIGITAL_SIGNATURE",
        },
        {
            "Name": "KEY_ENCIPHERMENT",
        }
    ],
    "NotAfter": "2021-05-26T12:00:00.000Z",
    "NotBefore": "2020-04-26T00:00:00.000Z",
    "Options": {
        "CertificateTransparencyLoggingPreference": "ENABLED",
    }
    "RenewalEligibility": "ELIGIBLE",
    "RenewalSummary": {
        "DomainValidationOptions": [
            {
                "DomainName": "example.amazondomains.com",
                "ResourceRecord": {
                    "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com",
                    "Type": "CNAME",
                    "Value": "_example.acm-validations.aws.com",
                },
                "ValidationDomain": "example.amazondomains.com",
                "ValidationEmails": ["sample_email@sample.com"],
                "ValidationMethod": "DNS",
                "ValidationStatus": "SUCCESS"
            }
        ],
        "RenewalStatus": "SUCCESS",
        "RenewalStatusReason": "",
        "UpdatedAt": "2020-04-26T00:41:35.000Z",
    },
    "Serial": "02:ac:86:b6:07:2f:0a:61:0e:3a:ac:fd:d9:ab:17:1a",
    "SignatureAlgorithm": "SHA256WITHRSA",
    "Status": "ISSUED",
    "Subject": "CN=example.amazondomains.com",
    "SubjectAlternativeNames": ["example.amazondomains.com"],
    "Type": "AMAZON_ISSUED"
}
```

# AwsCloudFormationRessourcen in ASFF
<a name="asff-resourcedetails-awscloudformation"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsCloudFormation` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsCloudFormationStack
<a name="asff-resourcedetails-awscloudformationstack"></a>

Das `AwsCloudFormationStack` Objekt enthält Details zu einem AWS CloudFormation Stapel, der als Ressource in einer Vorlage der obersten Ebene verschachtelt ist.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das Objekt. `AwsCloudFormationStack` Beschreibungen der `AwsCloudFormationStack` Attribute finden Sie [AwsCloudFormationStackDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudFormationStackDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsCloudFormationStack": { 
	"Capabilities": [
		"CAPABILITY_IAM",
		"CAPABILITY_NAMED_IAM"
	],
	"CreationTime": "2022-02-18T15:31:53.161Z",
	"Description": "AWS CloudFormation Sample",
	"DisableRollback": true,
	"DriftInformation": {
		"StackDriftStatus": "DRIFTED"
	},
	"EnableTerminationProtection": false,
	"LastUpdatedTime": "2022-02-18T15:31:53.161Z",
	"NotificationArns": [
		"arn:aws:sns:us-east-1:978084797471:sample-sns-cfn"
	],
	"Outputs": [{
		"Description": "URL for newly created LAMP stack",
		"OutputKey": "WebsiteUrl",
		"OutputValue": "http://ec2-44-193-18-241.compute-1.amazonaws.com"
	}],
	"RoleArn": "arn:aws:iam::012345678910:role/exampleRole",
	"StackId": "arn:aws:cloudformation:us-east-1:978084797471:stack/sample-stack/e5d9f7e0-90cf-11ec-88c6-12ac1f91724b",
	"StackName": "sample-stack",
	"StackStatus": "CREATE_COMPLETE",
	"StackStatusReason": "Success",
	"TimeoutInMinutes": 1
}
```

# AwsCloudFrontRessourcen in ASFF
<a name="asff-resourcedetails-awscloudfront"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsCloudFront` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsCloudFrontDistribution
<a name="asff-resourcedetails-awscloudfrontdistribution"></a>

Das `AwsCloudFrontDistribution` Objekt enthält Details zu einer CloudFront Amazon-Vertriebskonfiguration.

Im Folgenden finden Sie ein Beispiel für einen `AwsCloudFrontDistribution` Befund im AWS Security Finding Format (ASFF). Beschreibungen der `AwsCloudFrontDistribution` Attribute finden Sie [AwsCloudFrontDistributionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudFrontDistributionDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsCloudFrontDistribution": {
    "CacheBehaviors": {
        "Items": [
            {
               "ViewerProtocolPolicy": "https-only"
            }
         ]
    },
    "DefaultCacheBehavior": {
         "ViewerProtocolPolicy": "https-only"
    },
    "DefaultRootObject": "index.html",
    "DomainName": "d2wkuj2w9l34gt.cloudfront.net",
    "Etag": "E37HOT42DHPVYH",
    "LastModifiedTime": "2015-08-31T21:11:29.093Z",
    "Logging": {
         "Bucket": "myawslogbucket.s3.amazonaws.com",
         "Enabled": false,
         "IncludeCookies": false,
         "Prefix": "myawslog/"
     },
     "OriginGroups": {
          "Items": [
              {
                 "FailoverCriteria": {
                     "StatusCodes": {
                          "Items": [
                              200,
                              301,
                              404
                          ]
                          "Quantity": 3
                      }
                 }
              }
           ]
     },
     "Origins": {
           "Items": [
               {
                  "CustomOriginConfig": {
                      "HttpPort": 80,
                      "HttpsPort": 443,
                      "OriginKeepaliveTimeout": 60,
                      "OriginProtocolPolicy": "match-viewer",
                      "OriginReadTimeout": 30,
                      "OriginSslProtocols": {
                        "Items": ["SSLv3", "TLSv1"],
                        "Quantity": 2
                      }                       
                  }
               },                  
           ]
     },
                  "DomainName": "amzn-s3-demo-bucket.s3.amazonaws.com",
                  "Id": "my-origin",
                  "OriginPath": "/production",
                  "S3OriginConfig": {
                      "OriginAccessIdentity": "origin-access-identity/cloudfront/E2YFS67H6VB6E4"
                  }
           ]
     },
     "Status": "Deployed",
     "ViewerCertificate": {
            "AcmCertificateArn": "arn:aws:acm::123456789012:AcmCertificateArn",
            "Certificate": "ASCAJRRE5XYF52TKRY5M4",
            "CertificateSource": "iam",
            "CloudFrontDefaultCertificate": true,
            "IamCertificateId": "ASCAJRRE5XYF52TKRY5M4",
            "MinimumProtocolVersion": "TLSv1.2_2021",
            "SslSupportMethod": "sni-only"
      },
      "WebAclId": "waf-1234567890"
}
```

# AwsCloudTrailRessourcen in ASFF
<a name="asff-resourcedetails-awscloudtrail"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsCloudTrail` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsCloudTrailTrail
<a name="asff-resourcedetails-awscloudtrailtrail"></a>

Das `AwsCloudTrailTrail` Objekt liefert Details zu einer AWS CloudTrail Spur.

Im Folgenden finden Sie ein Beispiel für einen `AwsCloudTrailTrail` Befund im AWS Security Finding Format (ASFF). Beschreibungen der `AwsCloudTrailTrail` Attribute finden Sie [AwsCloudTrailTrailDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudTrailTrailDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsCloudTrailTrail": {
    "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-west-2:123456789012:log-group:CloudTrail/regression:*",
    "CloudWatchLogsRoleArn": "arn:aws:iam::866482105055:role/CloudTrail_CloudWatchLogs",
    "HasCustomEventSelectors": true,
    "HomeRegion": "us-west-2",
    "IncludeGlobalServiceEvents": true,
    "IsMultiRegionTrail": true,
    "IsOrganizationTrail": false,
    "KmsKeyId": "kmsKeyId",
    "LogFileValidationEnabled": true,
    "Name": "regression-trail",
    "S3BucketName": "cloudtrail-bucket",
    "S3KeyPrefix": "s3KeyPrefix",
    "SnsTopicArn": "arn:aws:sns:us-east-2:123456789012:MyTopic",
    "SnsTopicName": "snsTopicName",
    "TrailArn": "arn:aws:cloudtrail:us-west-2:123456789012:trail"
}
```

# AwsCloudWatchRessourcen in ASFF
<a name="asff-resourcedetails-awscloudwatch"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsCloudWatch` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsCloudWatchAlarm
<a name="asff-resourcedetails-awscloudwatchalarm"></a>

Das `AwsCloudWatchAlarm` Objekt bietet Details zu CloudWatch Amazon-Alarmen, die eine Metrik beobachten oder eine Aktion ausführen, wenn sich der Status eines Alarms ändert.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsCloudWatchAlarm` Objekt. Beschreibungen der `AwsCloudWatchAlarm` Attribute finden Sie [AwsCloudWatchAlarmDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudWatchAlarmDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsCloudWatchAlarm": { 
	"ActionsEnabled": true,
	"AlarmActions": [
		"arn:aws:automate:region:ec2:stop",
		"arn:aws:automate:region:ec2:terminate"
	],
	"AlarmArn": "arn:aws:cloudwatch:us-west-2:012345678910:alarm:sampleAlarm",
	"AlarmConfigurationUpdatedTimestamp": "2022-02-18T15:31:53.161Z",
	"AlarmDescription": "Alarm Example",
	"AlarmName": "Example",
	"ComparisonOperator": "GreaterThanOrEqualToThreshold",
	"DatapointsToAlarm": 1,
	"Dimensions": [{
		"Name": "InstanceId",
		"Value": "i-1234567890abcdef0"
	}],
	"EvaluateLowSampleCountPercentile": "evaluate",
	"EvaluationPeriods": 1,
	"ExtendedStatistic": "p99.9",
	"InsufficientDataActions": [
		"arn:aws:automate:region:ec2:stop"
	],
	"MetricName": "Sample Metric",
	"Namespace": "YourNamespace",
	"OkActions": [
		"arn:aws:swf:region:account-id:action/actions/AWS_EC2.InstanceId.Stop/1.0"
	],
	"Period": 1,
	"Statistic": "SampleCount",
	"Threshold": 12.3,
	"ThresholdMetricId": "t1",
	"TreatMissingData": "notBreaching",
	"Unit": "Kilobytes/Second"
}
```

# AwsCodeBuildRessourcen in ASFF
<a name="asff-resourcedetails-awscodebuild"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsCodeBuild` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsCodeBuildProject
<a name="asff-resourcedetails-awscodebuildproject"></a>

Das Objekt `AwsCodeBuildProject` liefert Informationen zu einem AWS CodeBuild -Projekt.

Im Folgenden finden Sie ein Beispiel für einen `AwsCodeBuildProject` Befund im AWS Security Finding Format (ASFF). Beschreibungen der `AwsCodeBuildProject` Attribute finden Sie [AwsCodeBuildProjectDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCodeBuildProjectDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsCodeBuildProject": {
   "Artifacts": [
      {
          "ArtifactIdentifier": "string",
          "EncryptionDisabled": boolean,
          "Location": "string",
          "Name": "string",
          "NamespaceType": "string",
          "OverrideArtifactName": boolean,
          "Packaging": "string",
          "Path": "string",
          "Type": "string"
       }
   ],
   "SecondaryArtifacts": [
      {
          "ArtifactIdentifier": "string",
          "EncryptionDisabled": boolean,
          "Location": "string",
          "Name": "string",
          "NamespaceType": "string",
          "OverrideArtifactName": boolean,
          "Packaging": "string",
          "Path": "string",
          "Type": "string"
       }
   ],
   "EncryptionKey": "string",
   "Certificate": "string",
   "Environment": {
      "Certificate": "string",
      "EnvironmentVariables": [
           {
                "Name": "string",
                "Type": "string",
                "Value": "string"
           }
      ],
   "ImagePullCredentialsType": "string",
   "PrivilegedMode": boolean, 
   "RegistryCredential": {
       "Credential": "string",
       "CredentialProvider": "string"
   },
   "Type": "string"
   },
   "LogsConfig": {
        "CloudWatchLogs": {
             "GroupName": "string",
             "Status": "string",
             "StreamName": "string"
        },
        "S3Logs": {
             "EncryptionDisabled": boolean,
             "Location": "string",
             "Status": "string"
        }
   },
   "Name": "string",
   "ServiceRole": "string",
   "Source": {
        "Type": "string",
        "Location": "string",
        "GitCloneDepth": integer
   },
   "VpcConfig": {
        "VpcId": "string",
        "Subnets": ["string"],
        "SecurityGroupIds": ["string"]
   }
}
```

# AwsDmsRessourcen in ASFF
<a name="asff-resourcedetails-awsdms"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsDms` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsDmsEndpoint
<a name="asff-resourcedetails-awsdmsendpoint"></a>

Das `AwsDmsEndpoint` Objekt stellt Informationen über einen AWS Database Migration Service (AWS DMS) -Endpunkt bereit. Ein Endpunkt stellt Verbindungs-, Datenspeichertyp- und Standortinformationen zu Ihrem Datenspeicher bereit.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsDmsEndpoint` Objekt. Beschreibungen der `AwsDmsEndpoint` Attribute finden Sie [AwsDmsEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsEndpointDeatils.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsDmsEndpoint": {
    "CertificateArn": "arn:aws:dms:us-east-1:123456789012:cert:EXAMPLEIGDURVZGVJQZDPWJ5A7F2YDJVSMTBWFI",
    "DatabaseName": "Test",
    "EndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:EXAMPLEQB3CZY33F7XV253NAJVBNPK6MJQVFVQA",
    "EndpointIdentifier": "target-db",
    "EndpointType": "TARGET", 
    "EngineName": "mariadb",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Port": 3306,
    "ServerName": "target-db.exampletafyu.us-east-1.rds.amazonaws.com",
    "SslMode": "verify-ca",
    "Username": "admin"
}
```

## AwsDmsReplicationInstance
<a name="asff-resourcedetails-awsdmsreplicationinstance"></a>

Das `AwsDmsReplicationInstance` Objekt stellt Informationen über eine AWS Database Migration Service (AWS DMS) Replikationsinstanz bereit. DMS verwendet eine Replikationsinstanz, um eine Verbindung zu Ihrem Quelldatenspeicher herzustellen, die Quelldaten zu lesen und die Daten für den Zieldatenspeicher zu formatieren.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsDmsReplicationInstance` Objekt. Beschreibungen der `AwsDmsReplicationInstance` Attribute finden Sie [AwsDmsReplicationInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsReplicationInstanceDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsDmsReplicationInstance": {
    "AllocatedStorage": 50,
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZone": "us-east-1b",
    "EngineVersion": "3.5.1",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "MultiAZ": false,
    "PreferredMaintenanceWindow": "wed:08:08-wed:08:38",
    "PubliclyAccessible": true,
    "ReplicationInstanceClass": "dms.c5.xlarge",
    "ReplicationInstanceIdentifier": "second-replication-instance",
    "ReplicationSubnetGroup": {
        "ReplicationSubnetGroupIdentifier": "default-vpc-2344f44f"
    },
    "VpcSecurityGroups": [
        {
            "VpcSecurityGroupId": "sg-003a34e205138138b"
        }
    ]
}
```

## AwsDmsReplicationTask
<a name="asff-resourcedetails-awsdmsreplicationtask"></a>

Das `AwsDmsReplicationTask` Objekt stellt Informationen über eine AWS Database Migration Service (AWS DMS) Replikationsaufgabe bereit. Eine Replikationsaufgabe verschiebt einen Datensatz vom Quellendpunkt zum Zielendpunkt.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsDmsReplicationInstance` Objekt. Beschreibungen der `AwsDmsReplicationInstance` Attribute finden Sie [AwsDmsReplicationInstance](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsReplicationTaskDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsDmsReplicationTask": {
    "CdcStartPosition": "2023-08-28T14:26:22",
    "Id": "arn:aws:dms:us-east-1:123456789012:task:YDYUOHZIXWKQSUCBMUCQCNY44SJW74VJNB5DFWQ",
    "MigrationType": "cdc",
    "ReplicationInstanceArn": "arn:aws:dms:us-east-1:123456789012:rep:T7V6RFDP23PYQWUL26N3PF5REKML4YOUGIMYJUI",
    "ReplicationTaskIdentifier": "test-task",
    "ReplicationTaskSettings": "{\"Logging\":{\"EnableLogging\":false,\"EnableLogContext\":false,\"LogComponents\":[{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TRANSFORMATION\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SOURCE_UNLOAD\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"IO\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TARGET_LOAD\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"PERFORMANCE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SOURCE_CAPTURE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SORTER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"REST_SERVER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"VALIDATOR_EXT\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TARGET_APPLY\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TASK_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TABLES_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"METADATA_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"FILE_FACTORY\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"COMMON\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"ADDONS\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"DATA_STRUCTURE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"COMMUNICATION\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"FILE_TRANSFER\"}],\"CloudWatchLogGroup\":null,\"CloudWatchLogStream\":null},\"StreamBufferSettings\":{\"StreamBufferCount\":3,\"CtrlStreamBufferSizeInMB\":5,\"StreamBufferSizeInMB\":8},\"ErrorBehavior\":{\"FailOnNoTablesCaptured\":true,\"ApplyErrorUpdatePolicy\":\"LOG_ERROR\",\"FailOnTransactionConsistencyBreached\":false,\"RecoverableErrorThrottlingMax\":1800,\"DataErrorEscalationPolicy\":\"SUSPEND_TABLE\",\"ApplyErrorEscalationCount\":0,\"RecoverableErrorStopRetryAfterThrottlingMax\":true,\"RecoverableErrorThrottling\":true,\"ApplyErrorFailOnTruncationDdl\":false,\"DataTruncationErrorPolicy\":\"LOG_ERROR\",\"ApplyErrorInsertPolicy\":\"LOG_ERROR\",\"EventErrorPolicy\":\"IGNORE\",\"ApplyErrorEscalationPolicy\":\"LOG_ERROR\",\"RecoverableErrorCount\":-1,\"DataErrorEscalationCount\":0,\"TableErrorEscalationPolicy\":\"STOP_TASK\",\"RecoverableErrorInterval\":5,\"ApplyErrorDeletePolicy\":\"IGNORE_RECORD\",\"TableErrorEscalationCount\":0,\"FullLoadIgnoreConflicts\":true,\"DataErrorPolicy\":\"LOG_ERROR\",\"TableErrorPolicy\":\"SUSPEND_TABLE\"},\"TTSettings\":{\"TTS3Settings\":null,\"TTRecordSettings\":null,\"EnableTT\":false},\"FullLoadSettings\":{\"CommitRate\":10000,\"StopTaskCachedChangesApplied\":false,\"StopTaskCachedChangesNotApplied\":false,\"MaxFullLoadSubTasks\":8,\"TransactionConsistencyTimeout\":600,\"CreatePkAfterFullLoad\":false,\"TargetTablePrepMode\":\"DO_NOTHING\"},\"TargetMetadata\":{\"ParallelApplyBufferSize\":0,\"ParallelApplyQueuesPerThread\":0,\"ParallelApplyThreads\":0,\"TargetSchema\":\"\",\"InlineLobMaxSize\":0,\"ParallelLoadQueuesPerThread\":0,\"SupportLobs\":true,\"LobChunkSize\":64,\"TaskRecoveryTableEnabled\":false,\"ParallelLoadThreads\":0,\"LobMaxSize\":0,\"BatchApplyEnabled\":false,\"FullLobMode\":true,\"LimitedSizeLobMode\":false,\"LoadMaxFileSize\":0,\"ParallelLoadBufferSize\":0},\"BeforeImageSettings\":null,\"ControlTablesSettings\":{\"historyTimeslotInMinutes\":5,\"HistoryTimeslotInMinutes\":5,\"StatusTableEnabled\":false,\"SuspendedTablesTableEnabled\":false,\"HistoryTableEnabled\":false,\"ControlSchema\":\"\",\"FullLoadExceptionTableEnabled\":false},\"LoopbackPreventionSettings\":null,\"CharacterSetSettings\":null,\"FailTaskWhenCleanTaskResourceFailed\":false,\"ChangeProcessingTuning\":{\"StatementCacheSize\":50,\"CommitTimeout\":1,\"BatchApplyPreserveTransaction\":true,\"BatchApplyTimeoutMin\":1,\"BatchSplitSize\":0,\"BatchApplyTimeoutMax\":30,\"MinTransactionSize\":1000,\"MemoryKeepTime\":60,\"BatchApplyMemoryLimit\":500,\"MemoryLimitTotal\":1024},\"ChangeProcessingDdlHandlingPolicy\":{\"HandleSourceTableDropped\":true,\"HandleSourceTableTruncated\":true,\"HandleSourceTableAltered\":true},\"PostProcessingRules\":null}",
    "SourceEndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:TZPWV2VCXEGHYOKVKRNHAKJ4Q3RUXACNGFGYWRI",
    "TableMappings": "{\"rules\":[{\"rule-type\":\"selection\",\"rule-id\":\"969761702\",\"rule-name\":\"969761702\",\"object-locator\":{\"schema-name\":\"%table\",\"table-name\":\"%example\"},\"rule-action\":\"exclude\",\"filters\":[]}]}",
    "TargetEndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:ABR8LBOQB3CZY33F7XV253NAJVBNPK6MJQVFVQA"
}
```

# AwsDynamoDBRessourcen in ASFF
<a name="asff-resourcedetails-awsdynamodb"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für Ressourcen. `AwsDynamoDB`

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsDynamoDbTable
<a name="asff-resourcedetails-awsdynamodbtable"></a>

Das `AwsDynamoDbTable` Objekt enthält Details zu einer Amazon DynamoDB-Tabelle.

Im Folgenden finden Sie ein Beispiel für einen `AwsDynamoDbTable` Befund im AWS Security Finding Format (ASFF). Beschreibungen der `AwsDynamoDbTable` Attribute finden Sie [AwsDynamoDbTableDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDynamoDbTableDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsDynamoDbTable": {
    "AttributeDefinitions": [   
        {        
            "AttributeName": "attribute1",
            "AttributeType": "value 1"
        },
        {
            "AttributeName": "attribute2",
            "AttributeType": "value 2"
        },
        {
            "AttributeName": "attribute3",
            "AttributeType": "value 3"
        }
    ],
    "BillingModeSummary": {
        "BillingMode": "PAY_PER_REQUEST",
        "LastUpdateToPayPerRequestDateTime": "2019-12-03T15:23:10.323Z"
    },
    "CreationDateTime": "2019-12-03T15:23:10.248Z",
    "DeletionProtectionEnabled": true,
    "GlobalSecondaryIndexes": [
        {
            "Backfilling": false,
            "IndexArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/index/exampleIndex",                
            "IndexName": "standardsControlArnIndex",
            "IndexSizeBytes": 1862513,
            "IndexStatus": "ACTIVE",
            "ItemCount": 20,
            "KeySchema": [
                {
                    "AttributeName": "City",
                    "KeyType": "HASH"
                },     
                {
                    "AttributeName": "Date",
                    "KeyType": "RANGE"
                }
            ],      
            "Projection": {
                "NonKeyAttributes": ["predictorName"],
                "ProjectionType": "ALL"
            },     
            "ProvisionedThroughput": {
                "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z",
                "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z",
                "NumberOfDecreasesToday": 0,
                "ReadCapacityUnits": 100,
                "WriteCapacityUnits": 50
            },
        }
   ],
   "GlobalTableVersion": "V1",
   "ItemCount": 2705,
   "KeySchema": [
        {
            "AttributeName": "zipcode",
            "KeyType": "HASH"
        }
    ],
    "LatestStreamArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/stream/2019-12-03T23:23:10.248",
    "LatestStreamLabel": "2019-12-03T23:23:10.248",
    "LocalSecondaryIndexes": [
        {
            "IndexArn": "arn:aws:dynamodb:us-east-1:111122223333:table/exampleGroup/index/exampleId",
            "IndexName": "CITY_DATE_INDEX_NAME",
            "KeySchema": [
                {
                    "AttributeName": "zipcode",
                    "KeyType": "HASH"
                }
            ],
            "Projection": {
                "NonKeyAttributes": ["predictorName"],
                "ProjectionType": "ALL"
            },  
        }
    ],
    "ProvisionedThroughput": {
        "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z",
        "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z",
        "NumberOfDecreasesToday": 0,
        "ReadCapacityUnits": 100,
        "WriteCapacityUnits": 50
    },
    "Replicas": [
        {
            "GlobalSecondaryIndexes":[
                {
                    "IndexName": "CITY_DATE_INDEX_NAME", 
                    "ProvisionedThroughputOverride": {
                        "ReadCapacityUnits": 10
                    }
                }
            ],
            "KmsMasterKeyId" : "KmsKeyId"
            "ProvisionedThroughputOverride": {
                "ReadCapacityUnits": 10
            },
            "RegionName": "regionName",
            "ReplicaStatus": "CREATING",
            "ReplicaStatusDescription": "replicaStatusDescription"
        }
    ],
    "RestoreSummary" : {
        "SourceBackupArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/backup/backup1",
        "SourceTableArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable",
        "RestoreDateTime": "2020-06-22T17:40:12.322Z",
        "RestoreInProgress": true
    },
    "SseDescription": {
        "InaccessibleEncryptionDateTime": "2018-01-26T23:50:05.000Z",
        "Status": "ENABLED",
        "SseType": "KMS",
        "KmsMasterKeyArn": "arn:aws:kms:us-east-1:111122223333:key/key1"
    },
    "StreamSpecification" : {
        "StreamEnabled": true,
        "StreamViewType": "NEW_IMAGE"
    },
    "TableId": "example-table-id-1",
    "TableName": "example-table",
    "TableSizeBytes": 1862513,
    "TableStatus": "ACTIVE"
}
```

# AwsEc2Ressourcen in ASFF
<a name="asff-resourcedetails-awsec2"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsEc2` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsEc2ClientVpnEndpoint
<a name="asff-resourcedetails-awsec2clientvpnendpoint"></a>

Das `AwsEc2ClientVpnEndpoint` Objekt stellt Informationen über einen AWS Client VPN Endpunkt bereit. Ein Client-VPN-Endpunkt ist die Ressource, die Sie erstellen und konfigurieren, um Client-VPN-Sitzungen zu aktivieren und zu verwalten. Es handelt sich hier um den Beendigungspunkt für alle Client-VPN-Sitzungen.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEc2ClientVpnEndpoint` Objekt. Beschreibungen der `AwsEc2ClientVpnEndpoint` Attribute finden Sie unter [AwsEc2 ClientVpnEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2ClientVpnEndpointDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEc2ClientVpnEndpoint": {
    "AuthenticationOptions": [
        {
            "MutualAuthentication": {
                "ClientRootCertificateChainArn": "arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            },
            "Type": "certificate-authentication"
        }
    ],
    "ClientCidrBlock": "10.0.0.0/22",
    "ClientConnectOptions": {
        "Enabled": false
    },
    "ClientLoginBannerOptions": {
        "Enabled": false
    },
    "ClientVpnEndpointId": "cvpn-endpoint-00c5d11fc4729f2a5",
    "ConnectionLogOptions": {
        "Enabled": false
    },
    "Description": "test",
    "DnsServer": ["10.0.0.0"],
    "ServerCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "SecurityGroupIdSet": [
        "sg-0f7a177b82b443691"
    ],
    "SelfServicePortalUrl": "https://self-service.clientvpn.amazonaws.com/endpoints/cvpn-endpoint-00c5d11fc4729f2a5",
    "SessionTimeoutHours": 24,
    "SplitTunnel": false,
    "TransportProtocol": "udp",
    "VpcId": "vpc-1a2b3c4d5e6f1a2b3",
    "VpnPort": 443
}
```

## AwsEc2Eip
<a name="asff-resourcedetails-awsec2eip"></a>

Das `AwsEc2Eip` Objekt stellt Informationen über eine Elastic IP-Adresse bereit.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEc2Eip` Objekt. Beschreibungen der `AwsEc2Eip` Attribute finden Sie unter [AwsEc2 EipDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2EipDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEc2Eip": {
    "InstanceId": "instance1",
    "PublicIp": "192.0.2.04",
    "AllocationId": "eipalloc-example-id-1",
    "AssociationId": "eipassoc-example-id-1",
    "Domain": "vpc",
    "PublicIpv4Pool": "anycompany",
    "NetworkBorderGroup": "eu-central-1",
    "NetworkInterfaceId": "eni-example-id-1",
    "NetworkInterfaceOwnerId": "777788889999",
    "PrivateIpAddress": "192.0.2.03"
}
```

## AwsEc2Instance
<a name="asff-resourcedetails-awsec2instance"></a>

Das `AwsEc2Instance` Objekt enthält Details zu einer Amazon EC2 EC2-Instance.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEc2Instance` Objekt. Beschreibungen der `AwsEc2Instance` Attribute finden Sie unter [AwsEc2 InstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2InstanceDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEc2Instance": { 
    "IamInstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/AdminRole",
    "ImageId": "ami-1234",
    "IpV4Addresses": [ "1.1.1.1" ],
    "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ],
    "KeyName": "my_keypair",
    "LaunchedAt": "2018-05-08T16:46:19.000Z",
    "MetadataOptions": {
    	"HttpEndpoint": "enabled",
    	"HttpProtocolIpv6": "enabled",
    	"HttpPutResponseHopLimit": 1,
    	"HttpTokens": "optional",
    	"InstanceMetadataTags": "disabled",
    },
    "Monitoring": {
    	"State": "disabled"
    },
    "NetworkInterfaces": [
      {
         "NetworkInterfaceId": "eni-e5aa89a3"
      }
    ],
    "SubnetId": "subnet-123",
    "Type": "i3.xlarge",
    "VpcId": "vpc-123"
}
```

## AwsEc2LaunchTemplate
<a name="asff-resourcedetails-awsec2launchtemplate"></a>

Das `AwsEc2LaunchTemplate` Objekt enthält Details zu einer Amazon Elastic Compute Cloud-Startvorlage, die Informationen zur Instance-Konfiguration spezifiziert.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEc2LaunchTemplate` Objekt. Beschreibungen der `AwsEc2LaunchTemplate` Attribute finden Sie unter [AwsEc2 LaunchTemplateDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2LaunchTemplateDetals.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEc2LaunchTemplate": {
    "DefaultVersionNumber": "1",
    "ElasticGpuSpecifications": ["string"],
    "ElasticInferenceAccelerators": ["string"],
    "Id": "lt-0a16e9802800bdd85",
    "ImageId": "ami-0d5eff06f840b45e9",
    "LatestVersionNumber": "1",
    "LaunchTemplateData": {
    	"BlockDeviceMappings": [{
    		"DeviceName": "/dev/xvda",
    		"Ebs": {
    			"DeleteonTermination": true,
    			"Encrypted": true,
    			"SnapshotId": "snap-01047646ec075f543",
    			"VolumeSize": 8,
    			"VolumeType:" "gp2"
    		}
    	}],
    	"MetadataOptions": {
    		"HttpTokens": "enabled",
    		"HttpPutResponseHopLimit" : 1
    	},
    	"Monitoring": {
    		"Enabled": true,
    	"NetworkInterfaces": [{
    		"AssociatePublicIpAddress" : true,
    	}],
    "LaunchTemplateName": "string",
    "LicenseSpecifications": ["string"],
    "SecurityGroupIds": ["sg-01fce87ad6e019725"],
    "SecurityGroups": ["string"],
    "TagSpecifications": ["string"]
}
```

## AwsEc2NetworkAcl
<a name="asff-resourcedetails-awsec2networkacl"></a>

Das `AwsEc2NetworkAcl` Objekt enthält Details zu einer Amazon EC2 EC2-Netzwerkzugriffskontrollliste (ACL).

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEc2NetworkAcl` Objekt. Beschreibungen der `AwsEc2NetworkAcl` Attribute finden Sie unter [AwsEc2 NetworkAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2NetworkAclDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEc2NetworkAcl": {
    "IsDefault": false,
    "NetworkAclId": "acl-1234567890abcdef0",
    "OwnerId": "123456789012",
    "VpcId": "vpc-1234abcd",
    "Associations": [{
        "NetworkAclAssociationId": "aclassoc-abcd1234",
        "NetworkAclId": "acl-021345abcdef6789",
        "SubnetId": "subnet-abcd1234"
   }],
   "Entries": [{
        "CidrBlock": "10.24.34.0/23",
        "Egress": true,
        "IcmpTypeCode": {
            "Code": 10,
            "Type": 30
        },
        "Ipv6CidrBlock": "2001:DB8::/32",
        "PortRange": {
            "From": 20,
            "To": 40
        },
        "Protocol": "tcp",
        "RuleAction": "allow",
        "RuleNumber": 100
   }]
}
```

## AwsEc2NetworkInterface
<a name="asff-resourcedetails-awsec2networkinterface"></a>

Das `AwsEc2NetworkInterface` Objekt stellt Informationen über eine Amazon EC2 EC2-Netzwerkschnittstelle bereit.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEc2NetworkInterface` Objekt. Beschreibungen der `AwsEc2NetworkInterface` Attribute finden Sie unter [AwsEc2 NetworkInterfaceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2NetworkInterfaceDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEc2NetworkInterface": {
    "Attachment": {
        "AttachTime": "2019-01-01T03:03:21Z",
        "AttachmentId": "eni-attach-43348162",
        "DeleteOnTermination": true,
        "DeviceIndex": 123,
        "InstanceId": "i-1234567890abcdef0",
        "InstanceOwnerId": "123456789012",
        "Status": 'ATTACHED'
    },
    "SecurityGroups": [
        {
            "GroupName": "my-security-group",
            "GroupId": "sg-903004f8"
        },
    ],
    "NetworkInterfaceId": 'eni-686ea200',
    "SourceDestCheck": false
}
```

## AwsEc2RouteTable
<a name="asff-resourcedetails-awsec2routetable"></a>

Das `AwsEc2RouteTable` Objekt stellt Informationen über eine Amazon EC2 EC2-Routentabelle bereit.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEc2RouteTable` Objekt. Beschreibungen der `AwsEc2RouteTable` Attribute finden Sie unter [AwsEc2 RouteTableDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2RouteTableDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEc2RouteTable": {
    "AssociationSet": [{
    	"AssociationSet": {
    		"State": "associated"
    				},
    	"Main": true,
    	"RouteTableAssociationId": "rtbassoc-08e706c45de9f7512",
    	"RouteTableId": "rtb-0a59bde9cf2548e34",
    }],
    "PropogatingVgwSet": [],
    "RouteTableId": "rtb-0a59bde9cf2548e34",
    "RouteSet": [
    	{
    		"DestinationCidrBlock": "10.24.34.0/23",
    		"GatewayId": "local",
    		"Origin": "CreateRouteTable",
    		"State": "active"
    	},
    	{
    		"DestinationCidrBlock": "10.24.34.0/24",
    		"GatewayId": "igw-0242c2d7d513fc5d3",
    		"Origin": "CreateRoute",
    		"State": "active"
    	}
    ],
    "VpcId": "vpc-0c250a5c33f51d456"
}
```

## AwsEc2SecurityGroup
<a name="asff-resourcedetails-awsec2securitygroup"></a>

Das `AwsEc2SecurityGroup` Objekt beschreibt eine Amazon EC2-Sicherheitsgruppe.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEc2SecurityGroup` Objekt. Beschreibungen der `AwsEc2SecurityGroup` Attribute finden Sie unter [AwsEc2 SecurityGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2SecurityGroupDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEc2SecurityGroup": {
    "GroupName": "MySecurityGroup",
    "GroupId": "sg-903004f8",
    "OwnerId": "123456789012",
    "VpcId": "vpc-1a2b3c4d",
    "IpPermissions": [
        {
            "IpProtocol": "-1",
            "IpRanges": [],
            "UserIdGroupPairs": [
                {
                    "UserId": "123456789012",
                    "GroupId": "sg-903004f8"
                }
            ],
            "PrefixListIds": [
                {"PrefixListId": "pl-63a5400a"}
            ]
        },
        {
            "PrefixListIds": [],
            "FromPort": 22,
            "IpRanges": [
                {
                    "CidrIp": "203.0.113.0/24"
                }
            ],
            "ToPort": 22,
            "IpProtocol": "tcp",
            "UserIdGroupPairs": []
        }
    ]
}
```

## AwsEc2Subnet
<a name="asff-resourcedetails-awsec2subnet"></a>

Das `AwsEc2Subnet` Objekt stellt Informationen über ein Subnetz in Amazon EC2 bereit.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das Objekt. `AwsEc2Subnet` Beschreibungen der `AwsEc2Subnet` Attribute finden Sie unter [AwsEc2 SubnetDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2SubnetDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
AwsEc2Subnet: {
    "AssignIpv6AddressOnCreation": false,
    "AvailabilityZone": "us-west-2c",
    "AvailabilityZoneId": "usw2-az3",
    "AvailableIpAddressCount": 8185,
    "CidrBlock": "10.0.0.0/24",
    "DefaultForAz": false,
    "MapPublicIpOnLaunch": false,
    "OwnerId": "123456789012",
    "State": "available",
    "SubnetArn": "arn:aws:ec2:us-west-2:123456789012:subnet/subnet-d5436c93",
    "SubnetId": "subnet-d5436c93",
    "VpcId": "vpc-153ade70",
    "Ipv6CidrBlockAssociationSet": [{
        "AssociationId": "subnet-cidr-assoc-EXAMPLE",
        "Ipv6CidrBlock": "2001:DB8::/32",
        "CidrBlockState": "associated"
   }]
}
```

## AwsEc2TransitGateway
<a name="asff-resourcedetails-awsec2transitgateway"></a>

Das `AwsEc2TransitGateway` Objekt enthält Details zu einem Amazon EC2-Transit-Gateway, das Ihre virtuellen privaten Clouds (VPCs) und lokalen Netzwerke miteinander verbindet.

Im Folgenden finden Sie ein Beispiel für einen `AwsEc2TransitGateway` Befund im AWS Security Finding Format (ASFF). Beschreibungen von `AwsEc2TransitGateway` Attributen finden Sie unter [AwsEc2 TransitGatewayDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2TransitGatewayDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEc2TransitGateway": {
	"AmazonSideAsn": 65000,
	"AssociationDefaultRouteTableId": "tgw-rtb-099ba47cbbea837cc",
	"AutoAcceptSharedAttachments": "disable",
	"DefaultRouteTableAssociation": "enable",
	"DefaultRouteTablePropagation": "enable",
	"Description": "sample transit gateway",
	"DnsSupport": "enable",
	"Id": "tgw-042ae6bf7a5c126c3",
	"MulticastSupport": "disable",
	"PropagationDefaultRouteTableId": "tgw-rtb-099ba47cbbea837cc",
	"TransitGatewayCidrBlocks": ["10.0.0.0/16"],
	"VpnEcmpSupport": "enable"
}
```

## AwsEc2Volume
<a name="asff-resourcedetails-awsec2volume"></a>

Das `AwsEc2Volume` Objekt enthält Details zu einem Amazon EC2 EC2-Volume.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEc2Volume` Objekt. Beschreibungen der `AwsEc2Volume` Attribute finden Sie unter [AwsEc2 VolumeDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VolumeDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEc2Volume": {
    "Attachments": [
      {
        "AttachTime": "2017-10-17T14:47:11Z",
        "DeleteOnTermination": true,
        "InstanceId": "i-123abc456def789g",
        "Status": "attached"
      }
     ],
    "CreateTime": "2020-02-24T15:54:30Z",
    "Encrypted": true,
    "KmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
    "Size": 80,
    "SnapshotId": "",
    "Status": "available"
}
```

## AwsEc2Vpc
<a name="asff-resourcedetails-awsec2vpc"></a>

Das `AwsEc2Vpc` Objekt enthält Details zu einer Amazon EC2 EC2-VPC.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das Objekt. `AwsEc2Vpc` Beschreibungen der `AwsEc2Vpc` Attribute finden Sie unter [AwsEc2 VpcDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEc2Vpc": {
    "CidrBlockAssociationSet": [
        {
            "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97",
            "CidrBlock": "192.0.2.0/24",
            "CidrBlockState": "associated"
        }
    ],
    "DhcpOptionsId": "dopt-4e42ce28",
    "Ipv6CidrBlockAssociationSet": [
        {
            "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97",
            "CidrBlockState": "associated",
            "Ipv6CidrBlock": "192.0.2.0/24"
       }

    ],
    "State": "available"
}
```

## AwsEc2VpcEndpointService
<a name="asff-resourcedetails-awsec2vpcendpointservice"></a>

Das `AwsEc2VpcEndpointService` Objekt enthält Details zur Dienstkonfiguration für einen VPC-Endpunktdienst.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEc2VpcEndpointService` Objekt. Beschreibungen der `AwsEc2VpcEndpointService` Attribute finden Sie unter [AwsEc2 VpcEndpointServiceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcEndpointServiceDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEc2VpcEndpointService": {
    "ServiceType": [
      {
        "ServiceType": "Interface"
      }
    ],
    "ServiceId": "vpce-svc-example1",
    "ServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example1",
    "ServiceState": "Available",
    "AvailabilityZones": [
      "us-east-1"
    ],
    "AcceptanceRequired": true,
    "ManagesVpcEndpoints": false,
    "NetworkLoadBalancerArns": [
      "arn:aws:elasticloadbalancing:us-east-1:444455556666:loadbalancer/net/my-network-load-balancer/example1"
    ],
    "GatewayLoadBalancerArns": [],
    "BaseEndpointDnsNames": [
      "vpce-svc-04eec859668b51c34.us-east-1.vpce.amazonaws.com"
    ],
    "PrivateDnsName": "my-private-dns"
}
```

## AwsEc2VpcPeeringConnection
<a name="asff-resourcedetails-awsec2vpcpeeringconnection"></a>

Das `AwsEc2VpcPeeringConnection` Objekt enthält Details zur Netzwerkverbindung zwischen zwei VPCs Objekten.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEc2VpcPeeringConnection` Objekt. Beschreibungen der `AwsEc2VpcPeeringConnection` Attribute finden Sie unter [AwsEc2 VpcPeeringConnectionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcPeeringConnectionDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEc2VpcPeeringConnection": { 
	"AccepterVpcInfo": {
		"CidrBlock": "10.0.0.0/28",
		"CidrBlockSet": [{
			"CidrBlock": "10.0.0.0/28"
		}],
		"Ipv6CidrBlockSet": [{
			"Ipv6CidrBlock": "2002::1234:abcd:ffff:c0a8:101/64"
		}],
		"OwnerId": "012345678910",
		"PeeringOptions": {
			"AllowDnsResolutionFromRemoteVpc": true,
			"AllowEgressFromLocalClassicLinkToRemoteVpc": false,
			"AllowEgressFromLocalVpcToRemoteClassicLink": true
		},
		"Region": "us-west-2",
		"VpcId": "vpc-i123456"
	},
	"ExpirationTime": "2022-02-18T15:31:53.161Z",
	"RequesterVpcInfo": {
		"CidrBlock": "192.168.0.0/28",
		"CidrBlockSet": [{
			"CidrBlock": "192.168.0.0/28"
		}],
		"Ipv6CidrBlockSet": [{
			"Ipv6CidrBlock": "2002::1234:abcd:ffff:c0a8:101/64"
		}],
		"OwnerId": "012345678910",
		"PeeringOptions": {
			"AllowDnsResolutionFromRemoteVpc": true,
			"AllowEgressFromLocalClassicLinkToRemoteVpc": false,
			"AllowEgressFromLocalVpcToRemoteClassicLink": true
		},
		"Region": "us-west-2",
		"VpcId": "vpc-i123456"
	},
	"Status": {
		"Code": "initiating-request",
		"Message": "Active"
	},
	"VpcPeeringConnectionId": "pcx-1a2b3c4d"
}
```

# AwsEcrRessourcen in ASFF
<a name="asff-resourcedetails-awsecr"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsEcr` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsEcrContainerImage
<a name="asff-resourcedetails-awsecrcontainerimage"></a>

Das `AwsEcrContainerImage` Objekt stellt Informationen zu einem Amazon ECR-Bild bereit.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEcrContainerImage` Objekt. Beschreibungen der `AwsEcrContainerImage` Attribute finden Sie [AwsEcrContainerImageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcrContainerImageDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEcrContainerImage": {
    "RegistryId": "123456789012",
    "RepositoryName": "repository-name",
    "Architecture": "amd64"
    "ImageDigest": "sha256:a568e5c7a953fbeaa2904ac83401f93e4a076972dc1bae527832f5349cd2fb10",
    "ImageTags": ["00000000-0000-0000-0000-000000000000"],
    "ImagePublishedAt": "2019-10-01T20:06:12Z"
}
```

## AwsEcrRepository
<a name="asff-resourcedetails-awsecrrepository"></a>

Das `AwsEcrRepository` Objekt stellt Informationen über ein Amazon Elastic Container Registry-Repository bereit.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEcrRepository` Objekt. Beschreibungen der `AwsEcrRepository` Attribute finden Sie [AwsEcrRepositoryDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcrRepositoryDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEcrRepository": {
    "LifecyclePolicy": {
        "RegistryId": "123456789012",
    },  
    "RepositoryName": "sample-repo",
    "Arn": "arn:aws:ecr:us-west-2:111122223333:repository/sample-repo",
    "ImageScanningConfiguration": {
        "ScanOnPush": true
    },
    "ImageTagMutability": "IMMUTABLE"
}
```

# AwsEcsRessourcen in ASFF
<a name="asff-resourcedetails-awsecs"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsEcs` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsEcsCluster
<a name="asff-resourcedetails-awsecscluster"></a>

Das `AwsEcsCluster` Objekt enthält Details zu einem Amazon Elastic Container Service-Cluster.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEcsCluster` Objekt. Beschreibungen der `AwsEcsCluster` Attribute finden Sie [AwsEcsClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsClusterDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
    "AwsEcsCluster": {
        "CapacityProviders": [],
        "ClusterSettings": [
            {
                "Name": "containerInsights",
                "Value": "enabled"
            }
        ],
        "Configuration": {
            "ExecuteCommandConfiguration": {
                "KmsKeyId": "kmsKeyId",
                "LogConfiguration": {
                    "CloudWatchEncryptionEnabled": true,
                    "CloudWatchLogGroupName": "cloudWatchLogGroupName",
                    "S3BucketName": "s3BucketName",
                    "S3EncryptionEnabled": true,
                    "S3KeyPrefix": "s3KeyPrefix"
                },
                "Logging": "DEFAULT"
            }
        }
        "DefaultCapacityProviderStrategy": [
            {
                "Base": 0,
                "CapacityProvider": "capacityProvider",
                "Weight": 1
            }
        ]
    }
```

## AwsEcsContainer
<a name="asff-resourcedetails-awsecscontainer"></a>

Das `AwsEcsContainer` Objekt enthält Details zu einem Amazon ECS-Container.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEcsContainer` Objekt. Beschreibungen der `AwsEcsContainer` Attribute finden Sie [AwsEcsContainerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsContainerDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEcsContainer": {
    "Image": "1111111/knotejs@sha256:356131c9fef111111111111115f4ed8de5f9dce4dc3bd34bg21846588a3",
    "MountPoints": [{
        "ContainerPath": "/mnt/etc",
        "SourceVolume": "vol-03909e9"
    }],
    "Name": "knote",
    "Privileged": true 
}
```

## AwsEcsService
<a name="asff-resourcedetails-awsecsservice"></a>

Das `AwsEcsService` Objekt bietet Details zu einem Service innerhalb eines Amazon ECS-Clusters.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEcsService` Objekt. Beschreibungen der `AwsEcsService` Attribute finden Sie [AwsEcsServiceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsServiceDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEcsService": {
    "CapacityProviderStrategy": [
        {
            "Base": 12,
            "CapacityProvider": "",
            "Weight": ""
        }
    ],
    "Cluster": "arn:aws:ecs:us-east-1:111122223333:cluster/example-ecs-cluster",
    "DeploymentConfiguration": {
        "DeploymentCircuitBreaker": {
            "Enable": false,
            "Rollback": false
        },
        "MaximumPercent": 200,
        "MinimumHealthyPercent": 100
    },
    "DeploymentController": "",
    "DesiredCount": 1,
    "EnableEcsManagedTags": false,
    "EnableExecuteCommand": false,
    "HealthCheckGracePeriodSeconds": 1,
    "LaunchType": "FARGATE",
    "LoadBalancers": [
        {
            "ContainerName": "",
            "ContainerPort": 23,
            "LoadBalancerName": "",
            "TargetGroupArn": ""
        }
    ],
    "Name": "sample-app-service",
    "NetworkConfiguration": {
        "AwsVpcConfiguration": {
            "Subnets": [
                "Subnet-example1",
                "Subnet-example2"
            ],
        "SecurityGroups": [
                "Sg-0ce48e9a6e5b457f5"
        ],
        "AssignPublicIp": "ENABLED"
        }
    },
    "PlacementConstraints": [
        {
            "Expression": "",
            "Type": ""
        }
    ],
    "PlacementStrategies": [
        {
            "Field": "",
            "Type": ""
        }
    ],
    "PlatformVersion": "LATEST",
    "PropagateTags": "",
    "Role": "arn:aws:iam::111122223333:role/aws-servicerole/ecs.amazonaws.com/ServiceRoleForECS",
    "SchedulingStrategy": "REPLICA",
    "ServiceName": "sample-app-service",
    "ServiceArn": "arn:aws:ecs:us-east-1:111122223333:service/example-ecs-cluster/sample-app-service",
    "ServiceRegistries": [
        {
            "ContainerName": "",
            "ContainerPort": 1212,
            "Port": 1221,
            "RegistryArn": ""
        }
    ],
    "TaskDefinition": "arn:aws:ecs:us-east-1:111122223333:task-definition/example-taskdef:1"
}
```

## AwsEcsTask
<a name="asff-resourcedetails-awsecstask"></a>

Das `AwsEcsTask` Objekt enthält Details zu einer Amazon ECS-Aufgabe. 

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEcsTask` Objekt. Beschreibungen der `AwsEcsTask` Attribute finden Sie [AwsEcsTask](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsTaskDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEcsTask": {
	"ClusterArn": "arn:aws:ecs:us-west-2:123456789012:task/MyCluster/1234567890123456789",
	"CreatedAt": "1557134011644",
	"Group": "service:fargate-service",
	"StartedAt": "1557134011644",
	"StartedBy": "ecs-svc/1234567890123456789",
	"TaskDefinitionArn": "arn:aws:ecs:us-west-2:123456789012:task-definition/sample-fargate:2",
	"Version": 3,
	"Volumes": [{
		"Name": "string",
		"Host": {
			"SourcePath": "string"
		}
	}],
	"Containers": {
		"Image": "1111111/knotejs@sha256:356131c9fef111111111111115f4ed8de5f9dce4dc3bd34bg21846588a3",
		"MountPoints": [{
			"ContainerPath": "/mnt/etc",
			"SourceVolume": "vol-03909e9"
		}],
		"Name": "knote",
		"Privileged": true
	}
}
```

## AwsEcsTaskDefinition
<a name="asff-resourcedetails-awsecstaskdefinition"></a>

Das `AwsEcsTaskDefinition` Objekt enthält Details zu einer Aufgabendefinition. Eine Aufgabendefinition beschreibt die Container- und Volume-Definitionen einer Amazon Elastic Container Service-Aufgabe.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEcsTaskDefinition` Objekt. Beschreibungen der `AwsEcsTaskDefinition` Attribute finden Sie [AwsEcsTaskDefinitionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsTaskDefinitionDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
    "AwsEcsTaskDefinition": {
        "ContainerDefinitions": [
            {
                "Command": ['ruby', 'hi.rb'],
                "Cpu":128,
                "Essential": true,
                "HealthCheck": {
                    "Command": ["CMD-SHELL", "curl -f http://localhost/ || exit 1"],
                    "Interval": 10,
                    "Retries": 3,
                    "StartPeriod": 5,
                    "Timeout": 20
                },
                "Image": "tongueroo/sinatra:latest",
                "Interactive": true,
                "Links": [],
                "LogConfiguration": {
                    "LogDriver": "awslogs",
                    "Options": {
                        "awslogs-group": "/ecs/sinatra-hi",
                        "awslogs-region": "ap-southeast-1",
                        "awslogs-stream-prefix": "ecs"
                    },
                    "SecretOptions": []
                    
                },
                "MemoryReservation": 128,
                "Name": "web",
                "PortMappings": [
                    {
                        "ContainerPort": 4567,
                        "HostPort":4567,
                        "Protocol": "tcp"
                    }
                ],
                "Privileged": true,
                "StartTimeout": 10,
                "StopTimeout": 100,
            }
        ],
        "Family": "sinatra-hi",
        "NetworkMode": "host",
        "RequiresCompatibilities": ["EC2"],
        "Status": "ACTIVE",
        "TaskRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole",
    }
```

# AwsEfsRessourcen in ASFF
<a name="asff-resourcedetails-awsefs"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsEfs` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsEfsAccessPoint
<a name="asff-resourcedetails-awsefsaccesspoint"></a>

Das `AwsEfsAccessPoint` Objekt enthält Details zu Dateien, die im Amazon Elastic File System gespeichert sind.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEfsAccessPoint` Objekt. Beschreibungen der `AwsEfsAccessPoint` Attribute finden Sie [AwsEfsAccessPointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEfsAccessPointDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEfsAccessPoint": { 
	"AccessPointId": "fsap-05c4c0e79ba0b118a",
	"Arn": "arn:aws:elasticfilesystem:us-east-1:863155670886:access-point/fsap-05c4c0e79ba0b118a",
	"ClientToken": "AccessPointCompliant-ASk06ZZSXsEp",
	"FileSystemId": "fs-0f8137f731cb32146",
	"PosixUser": {
		"Gid": "1000",
		"SecondaryGids": ["0", "4294967295"],
		"Uid": "1234"
	},
	"RootDirectory": {
		"CreationInfo": {
			"OwnerGid": "1000",
			"OwnerUid": "1234",
			"Permissions": "777"
		},
		"Path": "/tmp/example"
	}
}
```

# AwsEksRessourcen in ASFF
<a name="asff-resourcedetails-awseks"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsEks` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsEksCluster
<a name="asff-resourcedetails-awsekscluster"></a>

Das `AwsEksCluster` Objekt enthält Details zu einem Amazon EKS-Cluster.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsEksCluster` Objekt. Beschreibungen der `AwsEksCluster` Attribute finden Sie [AwsEksClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEksClusterDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
{
  "AwsEksCluster": {
    "Name": "example",
    "Arn": "arn:aws:eks:us-west-2:222222222222:cluster/example",
    "CreatedAt": 1565804921.901,
    "Version": "1.12",
    "RoleArn": "arn:aws:iam::222222222222:role/example-cluster-ServiceRole-1XWBQWYSFRE2Q",
    "ResourcesVpcConfig": {
      "EndpointPublicAccess": false,
      "SubnetIds": [
        "subnet-021345abcdef6789",
        "subnet-abcdef01234567890",
        "subnet-1234567890abcdef0"
      ],
      "SecurityGroupIds": [
        "sg-abcdef01234567890"
      ]
    },
    "Logging": {
      "ClusterLogging": [
        {
          "Types": [
            "api",
            "audit",
            "authenticator",
            "controllerManager",
            "scheduler"
          ],
          "Enabled": true
        }
      ]
    },
    "Status": "CREATING",
    "CertificateAuthorityData": {},
  }
}
```

# AwsElasticBeanstalkRessourcen in ASFF
<a name="asff-resourcedetails-awselasticbeanstalk"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für Ressourcen. `AwsElasticBeanstalk`

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsElasticBeanstalkEnvironment
<a name="asff-resourcedetails-awselasticbeanstalkenvironment"></a>

Das `AwsElasticBeanstalkEnvironment` Objekt enthält Details zu einer AWS Elastic Beanstalk Umgebung.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsElasticBeanstalkEnvironment` Objekt. Beschreibungen der `AwsElasticBeanstalkEnvironment` Attribute finden Sie [AwsElasticBeanstalkEnvironmentDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElasticBeanstalkEnvironmentDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsElasticBeanstalkEnvironment": {
    "ApplicationName": "MyApplication",
    "Cname": "myexampleapp-env.devo-2.elasticbeanstalk-internal.com",
    "DateCreated": "2021-04-30T01:38:01.090Z",
    "DateUpdated": "2021-04-30T01:38:01.090Z",
    "Description": "Example description of my awesome application",
    "EndpointUrl": "eb-dv-e-p-AWSEBLoa-abcdef01234567890-021345abcdef6789.us-east-1.elb.amazonaws.com",
    "EnvironmentArn": "arn:aws:elasticbeanstalk:us-east-1:123456789012:environment/MyApplication/myapplication-env",
    "EnvironmentId": "e-abcd1234",
    "EnvironmentLinks": [
        {
            "EnvironmentName": "myexampleapp-env",
            "LinkName": "myapplicationLink"
        }
    ],
    "EnvironmentName": "myapplication-env",
    "OptionSettings": [
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "BatchSize",
            "Value": "100"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "Timeout",
            "Value": "600"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "BatchSizeType",
            "Value": "Percentage"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "IgnoreHealthCheck",
            "Value": "false"
        },
        {
            "Namespace": "aws:elasticbeanstalk:application",
            "OptionName": "Application Healthcheck URL",
            "Value": "TCP:80"
        }
    ],
    "PlatformArn": "arn:aws:elasticbeanstalk:us-east-1::platform/Tomcat 8 with Java 8 running on 64bit Amazon Linux/2.7.7",
    "SolutionStackName": "64bit Amazon Linux 2017.09 v2.7.7 running Tomcat 8 Java 8",
    "Status": "Ready",
    "Tier": {
        "Name": "WebServer"
       "Type": "Standard"
       "Version": "1.0"
    },
    "VersionLabel": "Sample Application"
}
```

# AwsElasticSearchRessourcen in ASFF
<a name="asff-resourcedetails-awselasticsearch"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsElasticSearch` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsElasticSearchDomain
<a name="asff-resourcedetails-awselasticsearchdomain"></a>

Das `AwsElasticSearchDomain` Objekt enthält Details zu einer Amazon OpenSearch Service-Domain.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsElasticSearchDomain` Objekt. Beschreibungen der `AwsElasticSearchDomain` Attribute finden Sie [AwsElasticSearchDomainDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElasticsearchDomainDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsElasticSearchDomain": {
    "AccessPolicies": "string",
    "DomainStatus": {
           "DomainId": "string",
           "DomainName": "string",
           "Endpoint": "string",
           "Endpoints": {
                  "string": "string"
           }
    },
    "DomainEndpointOptions": {
           "EnforceHTTPS": boolean,
           "TLSSecurityPolicy": "string"
    },
    "ElasticsearchClusterConfig": {
           "DedicatedMasterCount": number,
           "DedicatedMasterEnabled": boolean,
           "DedicatedMasterType": "string",
           "InstanceCount": number,
           "InstanceType": "string",
           "ZoneAwarenessConfig": {
                  "AvailabilityZoneCount": number
           },
           "ZoneAwarenessEnabled": boolean
    },
    "ElasticsearchVersion": "string",
    "EncryptionAtRestOptions": {
           "Enabled": boolean,
           "KmsKeyId": "string"
    },
    "LogPublishingOptions": {
           "AuditLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           },
           "IndexSlowLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           },
           "SearchSlowLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           }
    },
    "NodeToNodeEncryptionOptions": {
           "Enabled": boolean
    },
    "ServiceSoftwareOptions": {
           "AutomatedUpdateDate": "string",
           "Cancellable": boolean,
           "CurrentVersion": "string",
           "Description": "string",
           "NewVersion": "string",
           "UpdateAvailable": boolean,
           "UpdateStatus": "string"
    },
    "VPCOptions": {
           "AvailabilityZones": [
                 "string"
           ],
           "SecurityGroupIds": [
                 "string"
           ],
           "SubnetIds": [
                 "string"
           ],
          "VPCId": "string"
    }
}
```

# AwsElbRessourcen in ASFF
<a name="asff-resourcedetails-awselb"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsElb` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsElbLoadBalancer
<a name="asff-resourcedetails-awselbloadbalancer"></a>

Das `AwsElbLoadBalancer` Objekt enthält Details zu einem Classic Load Balancer.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsElbLoadBalancer` Objekt. Beschreibungen der `AwsElbLoadBalancer` Attribute finden Sie [AwsElbLoadBalancerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElbLoadBalancerDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsElbLoadBalancer": {
    "AvailabilityZones": ["us-west-2a"],
    "BackendServerDescriptions": [
         {
            "InstancePort": 80,
            "PolicyNames": ["doc-example-policy"]
        }
    ],
    "CanonicalHostedZoneName": "Z3DZXE0EXAMPLE",
    "CanonicalHostedZoneNameID": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com",
    "CreatedTime": "2020-08-03T19:22:44.637Z",
    "DnsName": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com",
    "HealthCheck": {
        "HealthyThreshold": 2,
        "Interval": 30,
        "Target": "HTTP:80/png",
        "Timeout": 3,
        "UnhealthyThreshold": 2
    },
    "Instances": [
        {
            "InstanceId": "i-example"
        }
    ],
    "ListenerDescriptions": [
        {
            "Listener": {
                "InstancePort": 443,
                "InstanceProtocol": "HTTPS",
                "LoadBalancerPort": 443,
                "Protocol": "HTTPS",
                "SslCertificateId": "arn:aws:iam::444455556666:server-certificate/my-server-cert"
            },
            "PolicyNames": ["ELBSecurityPolicy-TLS-1-2-2017-01"]
        }
    ],
    "LoadBalancerAttributes": {
        "AccessLog": {
            "EmitInterval": 60,
            "Enabled": true,
            "S3BucketName": "amzn-s3-demo-bucket",
            "S3BucketPrefix": "doc-example-prefix"
        },
        "ConnectionDraining": {
            "Enabled": false,
            "Timeout": 300
        },
        "ConnectionSettings": {
            "IdleTimeout": 30
        },
        "CrossZoneLoadBalancing": {
            "Enabled": true
        },
        "AdditionalAttributes": [{
            "Key": "elb.http.desyncmitigationmode",
            "Value": "strictest"
        }]

    },
    "LoadBalancerName": "example-load-balancer",
    "Policies": {
        "AppCookieStickinessPolicies": [
            {
                "CookieName": "",
                "PolicyName": ""
            }
        ],
        "LbCookieStickinessPolicies": [
            {
                "CookieExpirationPeriod": 60,
                "PolicyName": "my-example-cookie-policy"
            }
        ],
        "OtherPolicies": [
            "my-PublicKey-policy",
            "my-authentication-policy",
            "my-SSLNegotiation-policy",
            "my-ProxyProtocol-policy",
            "ELBSecurityPolicy-2015-03"
        ]
    },
    "Scheme": "internet-facing",
    "SecurityGroups": ["sg-example"],
    "SourceSecurityGroup": {
        "GroupName": "my-elb-example-group",
        "OwnerAlias": "444455556666"
    },
    "Subnets": ["subnet-example"],
    "VpcId": "vpc-a01106c2"
}
```

## AwsElbv2LoadBalancer
<a name="asff-resourcedetails-awselbv2loadbalancer"></a>

Das Objekt `AwsElbv2LoadBalancer` stellt Informationen über einen Load Balancer bereit.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsElbv2LoadBalancer` Objekt. Beschreibungen der `AwsElbv2LoadBalancer` Attribute finden Sie unter [AwsElbv2 LoadBalancerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElbv2LoadBalancerDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsElbv2LoadBalancer": {
                        "AvailabilityZones": {
                            "SubnetId": "string",
                            "ZoneName": "string"
                        },
                        "CanonicalHostedZoneId": "string",
                        "CreatedTime": "string",
                        "DNSName": "string",
                        "IpAddressType": "string",
                        "LoadBalancerAttributes": [
                            {
                                "Key": "string",
                                "Value": "string"
                            }
                        ],
                        "Scheme": "string",
                        "SecurityGroups": [ "string" ],
                        "State": {
                            "Code": "string",
                            "Reason": "string"
                        },
                        "Type": "string",
                        "VpcId": "string"
                    }
```

# AwsEventBridgeRessourcen in ASFF
<a name="asff-resourcedetails-awsevent"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsEventBridge` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsEventSchemasRegistry
<a name="asff-resourcedetails-awseventschemasregistry"></a>

Das `AwsEventSchemasRegistry` Objekt stellt Informationen über eine EventBridge Amazon-Schemaregistrierung bereit. Ein Schema definiert die Struktur der Ereignisse, an die gesendet werden EventBridge. Schemaregister sind Container, die Ihre Schemas sammeln und logisch gruppieren.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das Objekt. `AwsEventSchemasRegistry` Beschreibungen der `AwsEventSchemasRegistry` Attribute finden Sie [AwsEventSchemasRegistry](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventSchemasRegistryDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEventSchemasRegistry": {
    "Description": "This is an example event schema registry.",
    "RegistryArn": "arn:aws:schemas:us-east-1:123456789012:registry/schema-registry",
    "RegistryName": "schema-registry"
}
```

## AwsEventsEndpoint
<a name="asff-resourcedetails-awseventsendpoint"></a>

Das `AwsEventsEndpoint` Objekt stellt Informationen über einen EventBridge globalen Amazon-Endpunkt bereit. Der Endpunkt kann die Verfügbarkeit Ihrer Anwendung verbessern, indem er sie regional fehlertolerant macht.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das Objekt. `AwsEventsEndpoint` Beschreibungen der `AwsEventsEndpoint` Attribute finden Sie [AwsEventsEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventsEndpointDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEventsEndpoint": {
    "Arn": "arn:aws:events:us-east-1:123456789012:endpoint/my-endpoint",
    "Description": "This is a sample endpoint.",
    "EndpointId": "04k1exajoy.veo",
    "EndpointUrl": "https://04k1exajoy.veo.endpoint.events.amazonaws.com",
    "EventBuses": [
        {
            "EventBusArn": "arn:aws:events:us-east-1:123456789012:event-bus/default"
        },
        {
            "EventBusArn": "arn:aws:events:us-east-2:123456789012:event-bus/default"
        }
    ],
    "Name": "my-endpoint",
    "ReplicationConfig": {
        "State": "ENABLED"
    },
    "RoleArn": "arn:aws:iam::123456789012:role/service-role/Amazon_EventBridge_Invoke_Event_Bus_1258925394",
    "RoutingConfig": {
        "FailoverConfig": {
            "Primary": {
                "HealthCheck": "arn:aws:route53:::healthcheck/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            },
            "Secondary": {
                "Route": "us-east-2"
            }
        }
    },
    "State": "ACTIVE"
}
```

## AwsEventsEventbus
<a name="asff-resourcedetails-awseventseventbus"></a>

Das `AwsEventsEventbus` Objekt stellt Informationen über einen EventBridge globalen Amazon-Endpunkt bereit. Der Endpunkt kann die Verfügbarkeit Ihrer Anwendung verbessern, indem er sie regional fehlertolerant macht.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das Objekt. `AwsEventsEventbus` Beschreibungen der `AwsEventsEventbus` Attribute finden Sie [AwsEventsEventbusDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventsEventbusDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsEventsEventbus": 
    "Arn": "arn:aws:events:us-east-1:123456789012:event-bus/my-event-bus",
    "Name": "my-event-bus",
    "Policy": "{\"Version\":\"2012-10-17\",		 	 	 \"Statement\":[{\"Sid\":\"AllowAllAccountsFromOrganizationToPutEvents\",\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"events:PutEvents\",\"Resource\":\"arn:aws:events:us-east-1:123456789012:event-bus/my-event-bus\",\"Condition\":{\"StringEquals\":{\"aws:PrincipalOrgID\":\"o-ki7yjtkjv5\"}}},{\"Sid\":\"AllowAccountToManageRulesTheyCreated\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":[\"events:PutRule\",\"events:PutTargets\",\"events:DeleteRule\",\"events:RemoveTargets\",\"events:DisableRule\",\"events:EnableRule\",\"events:TagResource\",\"events:UntagResource\",\"events:DescribeRule\",\"events:ListTargetsByRule\",\"events:ListTagsForResource\"],\"Resource\":\"arn:aws:events:us-east-1:123456789012:rule/my-event-bus\",\"Condition\":{\"StringEqualsIfExists\":{\"events:creatorAccount\":\"123456789012\"}}}]}"
```

# AwsGuardDutyRessourcen in ASFF
<a name="asff-resourcedetails-awsguardduty"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsGuardDuty` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsGuardDutyDetector
<a name="asff-resourcedetails-awsguarddutydetector"></a>

Das `AwsGuardDutyDetector` Objekt liefert Informationen über einen GuardDuty Amazon-Detektor. Ein Detektor ist ein Objekt, das den GuardDuty Service repräsentiert. Ein Detektor ist erforderlich GuardDuty , um betriebsbereit zu sein.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsGuardDutyDetector` Objekt. Beschreibungen der `AwsGuardDutyDetector` Attribute finden Sie [AwsGuardDutyDetector](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsGuardDutyDetectorDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsGuardDutyDetector": {
    "FindingPublishingFrequency": "SIX_HOURS",
    "ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
    "Status": "ENABLED",
    "DataSources": {
        "CloudTrail": {
            "Status": "ENABLED"
        },
        "DnsLogs": {
            "Status": "ENABLED"
        },
        "FlowLogs": {
            "Status": "ENABLED"
        },
        "S3Logs": {
             "Status": "ENABLED"
         },
         "Kubernetes": {
             "AuditLogs": {
                "Status": "ENABLED"
             }
         },
         "MalwareProtection": {
             "ScanEc2InstanceWithFindings": {
                "EbsVolumes": {
                    "Status": "ENABLED"
                 }
             },
            "ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/malware-protection.guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDutyMalwareProtection"
         }
    }
}
```

# AwsIamRessourcen in ASFF
<a name="asff-resourcedetails-awsiam"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsIam` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsIamAccessKey
<a name="asff-resourcedetails-awsiamaccesskey"></a>

Das `AwsIamAccessKey` Objekt enthält Details zu einem IAM-Zugriffsschlüssel, der sich auf einen Befund bezieht.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsIamAccessKey` Objekt. Beschreibungen der `AwsIamAccessKey` Attribute finden Sie [AwsIamAccessKeyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamAccessKeyDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsIamAccessKey": { 
                        "AccessKeyId": "string",
                        "AccountId": "string",
                        "CreatedAt": "string",
                        "PrincipalId": "string",
                        "PrincipalName": "string",
                        "PrincipalType": "string",
                        "SessionContext": {
                            "Attributes": {
                                "CreationDate": "string",
                                "MfaAuthenticated": boolean
                            },
                            "SessionIssuer": {
                                "AccountId": "string",
                                "Arn": "string",
                                "PrincipalId": "string",
                                "Type": "string",
                                "UserName": "string"
                            }
                        },
                        "Status": "string"
                    }
```

## AwsIamGroup
<a name="asff-resourcedetails-awsiamgroup"></a>

Das `AwsIamGroup` Objekt enthält Details zu einer IAM-Gruppe.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsIamGroup` Objekt. Beschreibungen der `AwsIamGroup` Attribute finden Sie [AwsIamGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamGroupDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsIamGroup": {
    "AttachedManagedPolicies": [
        {
            "PolicyArn": "arn:aws:iam::aws:policy/ExampleManagedAccess",
            "PolicyName": "ExampleManagedAccess",
        }
    ],
    "CreateDate": "2020-04-28T14:08:37.000Z",
    "GroupId": "AGPA4TPS3VLP7QEXAMPLE",
    "GroupName": "Example_User_Group",
    "GroupPolicyList": [
        {
            "PolicyName": "ExampleGroupPolicy"
        }
    ],
    "Path": "/"
}
```

## AwsIamPolicy
<a name="asff-resourcedetails-awsiampolicy"></a>

Das `AwsIamPolicy` Objekt stellt eine IAM-Berechtigungsrichtlinie dar.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsIamPolicy` Objekt. Beschreibungen der `AwsIamPolicy` Attribute finden Sie [AwsIamPolicyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamPolicyDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsIamPolicy": {
    "AttachmentCount": 1,
    "CreateDate": "2017-09-14T08:17:29.000Z",
    "DefaultVersionId": "v1",
    "Description": "Example IAM policy",
    "IsAttachable": true,
    "Path": "/",
    "PermissionsBoundaryUsageCount": 5,
    "PolicyId": "ANPAJ2UCCR6DPCEXAMPLE",
    "PolicyName": "EXAMPLE-MANAGED-POLICY",
    "PolicyVersionList": [
        {
            "VersionId": "v1",
            "IsDefaultVersion": true,
            "CreateDate": "2017-09-14T08:17:29.000Z"
        }
    ],
    "UpdateDate": "2017-09-14T08:17:29.000Z"
}
```

## AwsIamRole
<a name="asff-resourcedetails-awsiamrole"></a>

Das `AwsIamRole` Objekt enthält Informationen zu einer IAM-Rolle, einschließlich aller Richtlinien der Rolle.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsIamRole` Objekt. Beschreibungen der `AwsIamRole` Attribute finden Sie [AwsIamRoleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamRoleDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsIamRole": {
    "AssumeRolePolicyDocument": "{'Version': '2012-10-17',		 	 	 'Statement': [{'Effect': 'Allow','Action': 'sts:AssumeRole'}]}",
    "AttachedManagedPolicies": [
        {
            "PolicyArn": "arn:aws:iam::aws:policy/ExamplePolicy1",
            "PolicyName": "Example policy 1"
        },
        {
            "PolicyArn": "arn:aws:iam::444455556666:policy/ExamplePolicy2",
            "PolicyName": "Example policy 2"
        }
        ],
        "CreateDate": "2020-03-14T07:19:14.000Z",
        "InstanceProfileList": [
            {
                "Arn": "arn:aws:iam::333333333333:ExampleProfile",
                "CreateDate": "2020-03-11T00:02:27Z",
                "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
                "InstanceProfileName": "ExampleInstanceProfile",
                "Path": "/",
                "Roles": [
                    {
                       "Arn": "arn:aws:iam::444455556666:role/example-role",
                        "AssumeRolePolicyDocument": "",
                        "CreateDate": "2020-03-11T00:02:27Z",
                        "Path": "/",
                        "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                        "RoleName": "example-role",
                    }
                ]
            }
        ],
        "MaxSessionDuration": 3600,
        "Path": "/",
        "PermissionsBoundary": {
            "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "PermissionsBoundaryType": "PermissionsBoundaryPolicy"
        },
        "RoleId": "AROA4TPS3VLEXAMPLE",
        "RoleName": "BONESBootstrapHydra-OverbridgeOpsFunctionsLambda",
        "RolePolicyList": [
            {
                "PolicyName": "Example role policy"
            }
        ]
    }
```

## AwsIamUser
<a name="asff-resourcedetails-awsiamuser"></a>

Das `AwsIamUser` Objekt stellt Informationen über einen Benutzer bereit.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsIamUser` Objekt. Beschreibungen der `AwsIamUser` Attribute finden Sie [AwsIamUserDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamUserDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsIamUser": {
    "AttachedManagedPolicies": [
        {
            "PolicyName": "ExamplePolicy",
            "PolicyArn": "arn:aws:iam::aws:policy/ExampleAccess"
        }
    ],
    "CreateDate": "2018-01-26T23:50:05.000Z",
    "GroupList": [],
    "Path": "/",
    "PermissionsBoundary" : {
        "PermissionsBoundaryArn" : "arn:aws:iam::aws:policy/AdministratorAccess",
        "PermissionsBoundaryType" : "PermissionsBoundaryPolicy"
    },
    "UserId": "AIDACKCEVSQ6C2EXAMPLE",
    "UserName": "ExampleUser",
    "UserPolicyList": [
        {
            "PolicyName": "InstancePolicy"
        }
    ]
}
```

# AwsKinesisRessourcen in ASFF
<a name="asff-resourcedetails-awskinesis"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsKinesis` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsKinesisStream
<a name="asff-resourcedetails-awskinesisstream"></a>

Das `AwsKinesisStream` Objekt enthält Details zu Amazon Kinesis Data Streams.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsKinesisStream` Objekt. Beschreibungen der `AwsKinesisStream` Attribute finden Sie [AwsKinesisStreamDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsKinesisStreamDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsKinesisStream": { 
	"Name": "test-vir-kinesis-stream",
	"Arn": "arn:aws:kinesis:us-east-1:293279581038:stream/test-vir-kinesis-stream",
	"RetentionPeriodHours": 24,
	"ShardCount": 2,
	"StreamEncryption": {
		"EncryptionType": "KMS",
		"KeyId": "arn:aws:kms:us-east-1:293279581038:key/849cf029-4143-4c59-91f8-ea76007247eb"
	}
}
```

# AwsKmsRessourcen in ASFF
<a name="asff-resourcedetails-awskms"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsKms` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsKmsKey
<a name="asff-resourcedetails-awskmskey"></a>

Das `AwsKmsKey` Objekt enthält Details zu einem AWS KMS key.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsKmsKey` Objekt. Beschreibungen der `AwsKmsKey` Attribute finden Sie [AwsKmsKeyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsKmsKeyDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsKmsKey": {
                        "AWSAccountId": "string",
                        "CreationDate": "string",
                        "Description": "string",
                        "KeyId": "string",
                        "KeyManager": "string",
                        "KeyRotationStatus": boolean,
                        "KeyState": "string",
                        "Origin": "string"
                    }
```

# AwsLambda
<a name="asff-resourcedetails-awslambda"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsLambda` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsLambdaFunction
<a name="asff-resourcedetails-awslambdafunction"></a>

Das `AwsLambdaFunction` Objekt enthält Details zur Konfiguration einer Lambda-Funktion.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsLambdaFunction` Objekt. Beschreibungen der `AwsLambdaFunction` Attribute finden Sie [AwsLambdaFunctionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsLambdaFunctionDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsLambdaFunction": {
    "Architectures": [
        "x86_64"
    ],
    "Code": {
        "S3Bucket": "amzn-s3-demo-bucket",
        "S3Key": "samplekey",
        "S3ObjectVersion": "2",
        "ZipFile": "myzip.zip"
    },
    "CodeSha256": "1111111111111abcdef",
    "DeadLetterConfig": {
        "TargetArn": "arn:aws:lambda:us-east-2:123456789012:queue:myqueue:2"
    },
    "Environment": {
        "Variables": {
            "Stage": "foobar"
         },
        "Error": {
            "ErrorCode": "Sample-error-code",
            "Message": "Caller principal is a manager."
         }
     },
    "FunctionName": "CheckOut",
    "Handler": "main.py:lambda_handler",
    "KmsKeyArn": "arn:aws:kms:us-west-2:123456789012:key/mykey",
    "LastModified": "2001-09-11T09:00:00Z",
    "Layers": {
        "Arn": "arn:aws:lambda:us-east-2:123456789012:layer:my-layer:3",
        "CodeSize": 169
    },
    "PackageType": "Zip",
    "RevisionId": "23",
    "Role": "arn:aws:iam::123456789012:role/Accounting-Role",
    "Runtime": "go1.7",
    "Timeout": 15,
    "TracingConfig": {
        "Mode": "Active"
    },
    "Version": "$LATEST$",
    "VpcConfig": {
        "SecurityGroupIds": ["sg-085912345678492fb", "sg-08591234567bdgdc"],
         "SubnetIds": ["subnet-071f712345678e7c8", "subnet-07fd123456788a036"]
    },
    "MasterArn": "arn:aws:lambda:us-east-2:123456789012:\$LATEST",
    "MemorySize": 2048
}
```

## AwsLambdaLayerVersion
<a name="asff-resourcedetails-awslambdalayerversion"></a>

Das `AwsLambdaLayerVersion` Objekt enthält Details zu einer Lambda-Layer-Version.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsLambdaLayerVersion` Objekt. Beschreibungen der `AwsLambdaLayerVersion` Attribute finden Sie [AwsLambdaLayerVersionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsLambdaLayerVersionDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsLambdaLayerVersion": {
    "Version": 2,
    "CompatibleRuntimes": [
        "java8"
    ],
    "CreatedDate": "2019-10-09T22:02:00.274+0000"
}
```

# AwsMskRessourcen in ASFF
<a name="asff-resourcedetails-awsmsk"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsMsk` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsMskCluster
<a name="asff-resourcedetails-awsmskcluster"></a>

Das `AwsMskCluster` Objekt stellt Informationen über einen Amazon Managed Streaming for Apache Kafka (Amazon MSK) -Cluster bereit.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das Objekt. `AwsMskCluster` Beschreibungen der `AwsMskCluster` Attribute finden Sie [AwsMskClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsMskClusterDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsMskCluster": {
        "ClusterInfo": {
            "ClientAuthentication": {
                "Sasl": {
                    "Scram": {
                        "Enabled": true
                    },
                    "Iam": {
                        "Enabled": true
                    }
                },
                "Tls": {
                    "CertificateAuthorityArnList": [],
                    "Enabled": false
                },
                "Unauthenticated": {
                    "Enabled": false
                }
            },
            "ClusterName": "my-cluster",
            "CurrentVersion": "K2PWKAKR8XB7XF",
            "EncryptionInfo": {
                "EncryptionAtRest": {
                    "DataVolumeKMSKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                },
                "EncryptionInTransit": {
                    "ClientBroker": "TLS",
                    "InCluster": true
                }
            },
            "EnhancedMonitoring": "PER_TOPIC_PER_BROKER",
            "NumberOfBrokerNodes": 3
        }
}
```

# AwsNetworkFirewallRessourcen in ASFF
<a name="asff-resourcedetails-awsnetworkfirewall"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsNetworkFirewall` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsNetworkFirewallFirewall
<a name="asff-resourcedetails-awsnetworkfirewallfirewall"></a>

Das `AwsNetworkFirewallFirewall` Objekt enthält Details zu einer AWS Network Firewall Firewall.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsNetworkFirewallFirewall` Objekt. Beschreibungen der `AwsNetworkFirewallFirewall` Attribute finden Sie [AwsNetworkFirewallFirewallDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallFirewallDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsNetworkFirewallFirewall": {
    "DeleteProtection": false,
    "FirewallArn": "arn:aws:network-firewall:us-east-1:024665936331:firewall/testfirewall", 
    "FirewallPolicyArn": "arn:aws:network-firewall:us-east-1:444455556666:firewall-policy/InitialFirewall",
    "FirewallId": "dea7d8e9-ae38-4a8a-b022-672a830a99fa",
    "FirewallName": "testfirewall",
    "FirewallPolicyChangeProtection": false,
    "SubnetChangeProtection": false,
    "SubnetMappings": [
        {
            "SubnetId": "subnet-0183481095e588cdc"
        },
        {
            "SubnetId": "subnet-01f518fad1b1c90b0"
        }
    ],
    "VpcId": "vpc-40e83c38"
}
```

## AwsNetworkFirewallFirewallPolicy
<a name="asff-resourcedetails-awsnetworkfirewallfirewallpolicy"></a>

Das `AwsNetworkFirewallFirewallPolicy` Objekt enthält Details zu einer Firewall-Richtlinie. Eine Firewall-Richtlinie definiert das Verhalten einer Netzwerk-Firewall.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsNetworkFirewallFirewallPolicy` Objekt. Beschreibungen der `AwsNetworkFirewallFirewallPolicy` Attribute finden Sie [AwsNetworkFirewallFirewallPolicyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallFirewallPolicyDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsNetworkFirewallFirewallPolicy": {
   "FirewallPolicy": {  
    "StatefulRuleGroupReferences": [
        {
            "ResourceArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/PatchesOnly"
        }
    ],
    "StatelessDefaultActions": [ "aws:forward_to_sfe" ],
    "StatelessFragmentDefaultActions": [ "aws:forward_to_sfe" ],
    "StatelessRuleGroupReferences": [
       {
          "Priority": 1,
          "ResourceArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1"
       }
     ]
   },
   "FirewallPolicyArn": "arn:aws:network-firewall:us-east-1:444455556666:firewall-policy/InitialFirewall",
   "FirewallPolicyId": "9ceeda22-6050-4048-a0ca-50ce47f0cc65",
   "FirewallPolicyName": "InitialFirewall",
   "Description": "Initial firewall"
}
```

## AwsNetworkFirewallRuleGroup
<a name="asff-resourcedetails-awsnetworkfirewallrulegroup"></a>

Das `AwsNetworkFirewallRuleGroup` Objekt enthält Details zu einer AWS Network Firewall Regelgruppe. Regelgruppen werden verwendet, um den Netzwerkverkehr zu untersuchen und zu kontrollieren. Zustandslose Regelgruppen gelten für einzelne Pakete. Stateful-Regelgruppen gelten für Pakete im Kontext ihres Datenverkehrs.

Auf Regelgruppen wird in Firewallrichtlinien verwiesen.

Die folgenden Beispiele zeigen das AWS Security Finding Format (ASFF) für das `AwsNetworkFirewallRuleGroup` Objekt. Beschreibungen der `AwsNetworkFirewallRuleGroup` Attribute finden Sie [AwsNetworkFirewallRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallRuleGroupDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel — Regelgruppe ohne Status**

```
"AwsNetworkFirewallRuleGroup": {
    "Capacity": 600,
    "RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1",
    "RuleGroupId": "fb13c4df-b6da-4c1e-91ec-84b7a5487493",
    "RuleGroupName": "Stateless-1"
    "Description": "Example of a stateless rule group",
    "Type": "STATELESS",
    "RuleGroup": {
        "RulesSource": {
            "StatelessRulesAndCustomActions": {
                "CustomActions": [],
                "StatelessRules": [
                    {
                        "Priority": 1,
                        "RuleDefinition": {
                            "Actions": [
                                "aws:pass"
                            ],
                            "MatchAttributes": {
                                "DestinationPorts": [
                                    {
                                        "FromPort": 443,
                                        "ToPort": 443
                                    }
                                ],
                                "Destinations": [
                                    {
                                        "AddressDefinition": "192.0.2.0/24"
                                    }
                                ],
                                "Protocols": [
                                            6
                                ],
                                "SourcePorts": [
                                    {
                                        "FromPort": 0,
                                        "ToPort": 65535
                                    }
                                ],
                                "Sources": [
                                    {
                                         "AddressDefinition": "198.51.100.0/24"
                                    }
                                ]
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Beispiel — Regelgruppe mit Status**

```
"AwsNetworkFirewallRuleGroup": {
    "Capacity": 100,
    "RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/tupletest",
    "RuleGroupId": "38b71c12-da80-4643-a6c5-03337f8933e0",
    "RuleGroupName": "ExampleRuleGroup",
    "Description": "Example of a stateful rule group",
    "Type": "STATEFUL",
    "RuleGroup": {
        "RuleSource": {
             "StatefulRules": [
                 {
                     "Action": "PASS",
                     "Header": {
                         "Destination": "Any",
                         "DestinationPort": "443",
                         "Direction": "ANY",
                         "Protocol": "TCP",
                         "Source": "Any",
                         "SourcePort": "Any"
                     },
                     "RuleOptions": [
                         {
                            "Keyword": "sid:1"
                         }
                     ]      
                 }
             ]
         }
    }
}
```

Die folgende Liste enthält Beispiele für gültige Werte für `AwsNetworkFirewallRuleGroup` Attribute:
+ `Action`

  Zulässige Werte: `PASS` \$1 `DROP` \$1 `ALERT`
+ `Protocol`

  Gültige Werte: `IP` `TCP` \$1 `UDP` \$1 `ICMP` \$1 `HTTP` \$1 `FTP` \$1 `TLS` \$1 `SMB` \$1 `DNS` \$1 `DCERPC` \$1 `SSH` \$1 `SMTP` \$1 `IMAP` \$1 `MSN` \$1 `KRB5` \$1 `IKEV2` \$1 `TFTP` \$1 `NTP` \$1 `DHCP`
+ `Flags`

  Zulässige Werte: `FIN` \$1 `SYN` \$1 `RST` \$1 `PSH` \$1 `ACK` \$1 `URG` \$1 `ECE` \$1 `CWR`
+ `Masks`

  Zulässige Werte: `FIN` \$1 `SYN` \$1 `RST` \$1 `PSH` \$1 `ACK` \$1 `URG` \$1 `ECE` \$1 `CWR`

# AwsOpenSearchServiceRessourcen in ASFF
<a name="asff-resourcedetails-awsopensearchservice"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsOpenSearchService` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsOpenSearchServiceDomain
<a name="asff-resourcedetails-awsopensearchservicedomain"></a>

Das `AwsOpenSearchServiceDomain` Objekt enthält Informationen über eine Amazon OpenSearch Service-Domain.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsOpenSearchServiceDomain` Objekt. Beschreibungen der `AwsOpenSearchServiceDomain` Attribute finden Sie [AwsOpenSearchServiceDomainDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsOpenSearchServiceDomainDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsOpenSearchServiceDomain": {
    "AccessPolicies": "IAM_Id",
    "AdvancedSecurityOptions": {
        "Enabled": true,
        "InternalUserDatabaseEnabled": true,
        "MasterUserOptions": {
            "MasterUserArn": "arn:aws:iam::123456789012:user/third-master-use",
            "MasterUserName": "third-master-use",
            "MasterUserPassword": "some-password"
        }
    },
    "Arn": "arn:aws:Opensearch:us-east-1:111122223333:somedomain",
    "ClusterConfig": {
        "InstanceType": "c5.large.search",
        "InstanceCount": 1,
        "DedicatedMasterEnabled": true,
        "ZoneAwarenessEnabled": false,
        "ZoneAwarenessConfig": {
            "AvailabilityZoneCount": 2
        },
        "DedicatedMasterType": "c5.large.search",
        "DedicatedMasterCount": 3,
        "WarmEnabled": true,
        "WarmCount": 3,
        "WarmType": "ultrawarm1.large.search"
    },
    "DomainEndpoint": "https://es-2021-06-23t17-04-qowmgghud5vofgb5e4wmi.eu-central-1.es.amazonaws.com",
    "DomainEndpointOptions": {
        "EnforceHTTPS": false,
        "TLSSecurityPolicy": "Policy-Min-TLS-1-0-2019-07",
        "CustomEndpointCertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/bda1bff1-79c0-49d0-abe6-50a15a7477d4",
        "CustomEndpointEnabled": true,
        "CustomEndpoint": "example.com"
    },
    "DomainEndpoints": {
        "vpc": "vpc-endpoint-h2dsd34efgyghrtguk5gt6j2foh4.us-east-1.es.amazonaws.com"
    },
    "DomainName": "my-domain",
    "EncryptionAtRestOptions": {
        "Enabled": false,
        "KmsKeyId": "1a2a3a4-1a2a-3a4a-5a6a-1a2a3a4a5a6a"
    },
    "EngineVersion": "7.1",
    "Id": "123456789012",
    "LogPublishingOptions": {
        "IndexSlowLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-index-slow-logs",
            "Enabled": true
        },
        "SearchSlowLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-slow-logs",
            "Enabled": true
        },
        "AuditLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-slow-logs",
            "Enabled": true
        }
    },
    "NodeToNodeEncryptionOptions": {
        "Enabled": true
    },
    "ServiceSoftwareOptions": {
        "AutomatedUpdateDate": "2022-04-28T14:08:37.000Z",
        "Cancellable": false,
        "CurrentVersion": "R20210331",
        "Description": "There is no software update available for this domain.",
        "NewVersion": "OpenSearch_1.0",
        "UpdateAvailable": false,
        "UpdateStatus": "COMPLETED",
        "OptionalDeployment": false
    },
    "VpcOptions": {
        "SecurityGroupIds": [
            "sg-2a3a4a5a"
        ],
        "SubnetIds": [
            "subnet-1a2a3a4a"
        ],
    }
}
```

# AwsRdsRessourcen in ASFF
<a name="asff-resourcedetails-awsrds"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsRds` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsRdsDbCluster
<a name="asff-resourcedetails-awsrdsdbcluster"></a>

Das `AwsRdsDbCluster` Objekt enthält Details zu einem Amazon RDS-Datenbankcluster.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsRdsDbCluster` Objekt. Beschreibungen der `AwsRdsDbCluster` Attribute finden Sie [AwsRdsDbClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbClusterDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsRdsDbCluster": {
    "ActivityStreamStatus": "stopped",
    "AllocatedStorage": 1,
    "AssociatedRoles": [
        {
        "RoleArn": "arn:aws:iam::777788889999:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
        "Status": "PENDING"
        }
    ],
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZones": [
        "us-east-1a",
        "us-east-1c",
        "us-east-1e"
    ],
    "BackupRetentionPeriod": 1,
    "ClusterCreateTime": "2020-06-22T17:40:12.322Z",
    "CopyTagsToSnapshot": true,
    "CrossAccountClone": false,
    "CustomEndpoints": [],
    "DatabaseName": "Sample name",
    "DbClusterIdentifier": "database-3",
    "DbClusterMembers": [
        {
        "DbClusterParameterGroupStatus": "in-sync",
        "DbInstanceIdentifier": "database-3-instance-1",
        "IsClusterWriter": true,
        "PromotionTier": 1,
        }
    ],
    "DbClusterOptionGroupMemberships": [],
    "DbClusterParameterGroup": "cluster-parameter-group",
    "DbClusterResourceId": "cluster-example",
    "DbSubnetGroup": "subnet-group",
    "DeletionProtection": false,
    "DomainMemberships": [],
    "Status": "modifying",
    "EnabledCloudwatchLogsExports": [
        "audit",
        "error",
        "general",
        "slowquery"
    ],
    "Endpoint": "database-3.cluster-example.us-east-1.rds.amazonaws.com",
    "Engine": "aurora-mysql",
    "EngineMode": "provisioned",
    "EngineVersion": "5.7.mysql_aurora.2.03.4",
    "HostedZoneId": "ZONE1",
    "HttpEndpointEnabled": false,
    "IamDatabaseAuthenticationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1",
    "MasterUsername": "admin",
    "MultiAz": false,
    "Port": 3306,
    "PreferredBackupWindow": "04:52-05:22",
    "PreferredMaintenanceWindow": "sun:09:32-sun:10:02",
    "ReaderEndpoint": "database-3.cluster-ro-example.us-east-1.rds.amazonaws.com",
    "ReadReplicaIdentifiers": [],
    "Status": "Modifying",
    "StorageEncrypted": true,
    "VpcSecurityGroups": [
        {
            "Status": "active",
            "VpcSecurityGroupId": "sg-example-1"
        }
    ],
}
```

## AwsRdsDbClusterSnapshot
<a name="asff-resourcedetails-awsrdsdbclustersnapshot"></a>

Das `AwsRdsDbClusterSnapshot` Objekt enthält Informationen über einen Amazon RDS-DB-Cluster-Snapshot.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsRdsDbClusterSnapshot` Objekt. Beschreibungen der `AwsRdsDbClusterSnapshot` Attribute finden Sie [AwsRdsDbClusterSnapshotDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbClusterSnapshotDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsRdsDbClusterSnapshot": {
    "AllocatedStorage": 0,
    "AvailabilityZones": [
        "us-east-1a",
        "us-east-1d",
        "us-east-1e"
    ],
    "ClusterCreateTime": "2020-06-12T13:23:15.577Z",
    "DbClusterIdentifier": "database-2",
    "DbClusterSnapshotAttributes": [{
        "AttributeName": "restore",
        "AttributeValues": ["123456789012"]
    }],
    "DbClusterSnapshotIdentifier": "rds:database-2-2020-06-23-03-52",
    "Engine": "aurora",
    "EngineVersion": "5.6.10a",
    "IamDatabaseAuthenticationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1",
    "LicenseModel": "aurora",
    "MasterUsername": "admin",
    "PercentProgress": 100,
    "Port": 0,
    "SnapshotCreateTime": "2020-06-22T17:40:12.322Z",
    "SnapshotType": "automated",
    "Status": "available",
    "StorageEncrypted": true,
    "VpcId": "vpc-faf7e380"
}
```

## AwsRdsDbInstance
<a name="asff-resourcedetails-awsrdsdbinstance"></a>

Das `AwsRdsDbInstance` Objekt enthält Details zu einer Amazon RDS-DB-Instance.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsRdsDbInstance` Objekt. Beschreibungen der `AwsRdsDbInstance` Attribute finden Sie [AwsRdsDbInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbInstanceDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsRdsDbInstance": {
    "AllocatedStorage": 20,
    "AssociatedRoles": [],
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZone": "us-east-1d",
    "BackupRetentionPeriod": 7,
    "CaCertificateIdentifier": "certificate1",
    "CharacterSetName": "",
    "CopyTagsToSnapshot": true,
    "DbClusterIdentifier": "",
    "DbInstanceArn": "arn:aws:rds:us-east-1:111122223333:db:database-1",
    "DbInstanceClass": "db.t2.micro",
    "DbInstanceIdentifier": "database-1",
    "DbInstancePort": 0,
    "DbInstanceStatus": "available",
    "DbiResourceId": "db-EXAMPLE123",
    "DbName": "",
    "DbParameterGroups": [
        {
            "DbParameterGroupName": "default.mysql5.7",
            "ParameterApplyStatus": "in-sync"
        }
    ],
    "DbSecurityGroups": [],                                                                                                                                                                                                 
    "DbSubnetGroup": {
        "DbSubnetGroupName": "my-group-123abc",
        "DbSubnetGroupDescription": "My subnet group",
        "VpcId": "vpc-example1",
        "SubnetGroupStatus": "Complete",
        "Subnets": [
            {
                "SubnetIdentifier": "subnet-123abc",
                "SubnetAvailabilityZone": {
                    "Name": "us-east-1d"
                },
                "SubnetStatus": "Active"
            },
            {
                "SubnetIdentifier": "subnet-456def",
                "SubnetAvailabilityZone": {
                    "Name": "us-east-1c"
                },
                "SubnetStatus": "Active"
            }
      ],
        "DbSubnetGroupArn": ""
    },
    "DeletionProtection": false,
    "DomainMemberships": [],
    "EnabledCloudWatchLogsExports": [],
    "Endpoint": {
        "address": "database-1.example.us-east-1.rds.amazonaws.com",
        "port": 3306,
        "hostedZoneId": "ZONEID1"
    },
    "Engine": "mysql",
    "EngineVersion": "5.7.22",
    "EnhancedMonitoringResourceArn": "arn:aws:logs:us-east-1:111122223333:log-group:Example:log-stream:db-EXAMPLE1",
    "IamDatabaseAuthenticationEnabled": false,
    "InstanceCreateTime": "2020-06-22T17:40:12.322Z",
    "Iops": "",
    "KmsKeyId": "",
    "LatestRestorableTime": "2020-06-24T05:50:00.000Z",
    "LicenseModel": "general-public-license",
    "ListenerEndpoint": "",
    "MasterUsername": "admin",
    "MaxAllocatedStorage": 1000,
    "MonitoringInterval": 60,
    "MonitoringRoleArn": "arn:aws:iam::111122223333:role/rds-monitoring-role",
    "MultiAz": false,
    "OptionGroupMemberships": [
        {
            "OptionGroupName": "default:mysql-5-7",
            "Status": "in-sync"
        }
    ],
    "PreferredBackupWindow": "03:57-04:27",
    "PreferredMaintenanceWindow": "thu:10:13-thu:10:43",
    "PendingModifiedValues": {
        "DbInstanceClass": "",
        "AllocatedStorage": "",
        "MasterUserPassword": "",
        "Port": "",
        "BackupRetentionPeriod": "",
        "MultiAZ": "",
        "EngineVersion": "",
        "LicenseModel": "",
        "Iops": "",
        "DbInstanceIdentifier": "",
        "StorageType": "",
        "CaCertificateIdentifier": "",
        "DbSubnetGroupName": "",
        "PendingCloudWatchLogsExports": "",
        "ProcessorFeatures": []
    },
    "PerformanceInsightsEnabled": false,
    "PerformanceInsightsKmsKeyId": "",
    "PerformanceInsightsRetentionPeriod": "",
    "ProcessorFeatures": [],
    "PromotionTier": "",
    "PubliclyAccessible": false,
    "ReadReplicaDBClusterIdentifiers": [],
    "ReadReplicaDBInstanceIdentifiers": [],
    "ReadReplicaSourceDBInstanceIdentifier": "",
    "SecondaryAvailabilityZone": "",
    "StatusInfos": [],
    "StorageEncrypted": false,
    "StorageType": "gp2",
    "TdeCredentialArn": "",
    "Timezone": "",
    "VpcSecurityGroups": [
        {
            "VpcSecurityGroupId": "sg-example1",
            "Status": "active"
        }
    ]
}
```

## AwsRdsDbSecurityGroup
<a name="asff-resourcedetails-awsrdsdbsecuritygroup"></a>

Das `AwsRdsDbSecurityGroup` Objekt enthält Informationen über einen Amazon Relational Database Service

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsRdsDbSecurityGroup` Objekt. Beschreibungen der `AwsRdsDbSecurityGroup` Attribute finden Sie [AwsRdsDbSecurityGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbSecurityGroupDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsRdsDbSecurityGroup": {
    "DbSecurityGroupArn": "arn:aws:rds:us-west-1:111122223333:secgrp:default",
    "DbSecurityGroupDescription": "default",
    "DbSecurityGroupName": "mysecgroup",
    "Ec2SecurityGroups": [
        {
          "Ec2SecurityGroupuId": "myec2group",
          "Ec2SecurityGroupName": "default",
          "Ec2SecurityGroupOwnerId": "987654321021",
          "Status": "authorizing"
        }
    ],
    "IpRanges": [
        {
          "Cidrip": "0.0.0.0/0",
          "Status": "authorizing"
        }
    ],
    "OwnerId": "123456789012",
    "VpcId": "vpc-1234567f"
}
```

## AwsRdsDbSnapshot
<a name="asff-resourcedetails-awsrdsdbsnapshot"></a>

Das `AwsRdsDbSnapshot` Objekt enthält Details zu einem Amazon RDS-DB-Cluster-Snapshot.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsRdsDbSnapshot` Objekt. Beschreibungen der `AwsRdsDbSnapshot` Attribute finden Sie [AwsRdsDbSnapshotDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbSnapshotDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsRdsDbSnapshot": {
    "DbSnapshotIdentifier": "rds:database-1-2020-06-22-17-41",
    "DbInstanceIdentifier": "database-1",
    "SnapshotCreateTime": "2020-06-22T17:41:29.967Z",
    "Engine": "mysql",
    "AllocatedStorage": 20,
    "Status": "available",
    "Port": 3306,
    "AvailabilityZone": "us-east-1d",
    "VpcId": "vpc-example1",
    "InstanceCreateTime": "2020-06-22T17:40:12.322Z",
    "MasterUsername": "admin",
    "EngineVersion": "5.7.22",
    "LicenseModel": "general-public-license",
    "SnapshotType": "automated",
    "Iops": null,
    "OptionGroupName": "default:mysql-5-7",
    "PercentProgress": 100,
    "SourceRegion": null,
    "SourceDbSnapshotIdentifier": "",
    "StorageType": "gp2",
    "TdeCredentialArn": "",
    "Encrypted": false,
    "KmsKeyId": "",
    "Timezone": "",
    "IamDatabaseAuthenticationEnabled": false,
    "ProcessorFeatures": [],
    "DbiResourceId": "db-resourceexample1"
}
```

## AwsRdsEventSubscription
<a name="asff-resourcedetails-awsrdseventsubscription"></a>

Das `AwsRdsEventSubscription` enthält Einzelheiten zu einem Abonnement für RDS-Ereignisbenachrichtigungen. Das Abonnement ermöglicht es RDS, Ereignisse zu einem SNS-Thema zu veröffentlichen.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsRdsEventSubscription` Objekt. Beschreibungen der `AwsRdsEventSubscription` Attribute finden Sie [AwsRdsEventSubscriptionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsEventSubscriptionDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsRdsEventSubscription": {
    "CustSubscriptionId": "myawsuser-secgrp",
    "CustomerAwsId": "111111111111",
    "Enabled": true,
    "EventCategoriesList": [
        "configuration change",
        "failure"
    ],
    "EventSubscriptionArn": "arn:aws:rds:us-east-1:111111111111:es:my-instance-events",
    "SnsTopicArn": "arn:aws:sns:us-east-1:111111111111:myawsuser-RDS",
    "SourceIdsList": [
        "si-sample",
        "mysqldb-rr"
    ],
    "SourceType": "db-security-group",
    "Status": "creating",
    "SubscriptionCreationTime": "2021-06-27T01:38:01.090Z"
}
```

# AwsRedshiftRessourcen in ASFF
<a name="asff-resourcedetails-awsredshift"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsRedshift` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsRedshiftCluster
<a name="asff-resourcedetails-awsredshiftcluster"></a>

Das `AwsRedshiftCluster` Objekt enthält Details zu einem Amazon Redshift Redshift-Cluster.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsRedshiftCluster` Objekt. Beschreibungen der `AwsRedshiftCluster` Attribute finden Sie [AwsRedshiftClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRedshiftClusterDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsRedshiftCluster": {
    "AllowVersionUpgrade": true,
    "AutomatedSnapshotRetentionPeriod": 1,
    "AvailabilityZone": "us-west-2d",
    "ClusterAvailabilityStatus": "Unavailable",
    "ClusterCreateTime": "2020-08-03T19:22:44.637Z",
    "ClusterIdentifier": "redshift-cluster-1",
    "ClusterNodes": [
        {
            "NodeRole": "LEADER",
            "PrivateIPAddress": "192.0.2.108",
            "PublicIPAddress": "198.51.100.29"
        },
        {
            "NodeRole": "COMPUTE-0",
            "PrivateIPAddress": "192.0.2.22",
            "PublicIPAddress": "198.51.100.63"
        },
        {
             "NodeRole": "COMPUTE-1",
             "PrivateIPAddress": "192.0.2.224",
             "PublicIPAddress": "198.51.100.226"
        }
        ],
    "ClusterParameterGroups": [
        { 
            "ClusterParameterStatusList": [
                {
                    "ParameterName": "max_concurrency_scaling_clusters",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "enable_user_activity_logging",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "auto_analyze",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "query_group",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "datestyle",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "extra_float_digits",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "search_path",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "statement_timeout",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "wlm_json_configuration",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "require_ssl",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "use_fips_ssl",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                }
            ],
            "ParameterApplyStatus": "in-sync",
            "ParameterGroupName": "temp"
        }
    ], 
    "ClusterPublicKey": "JalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Amazon-Redshift",
    "ClusterRevisionNumber": 17498,
    "ClusterSecurityGroups": [
        {
            "ClusterSecurityGroupName": "default",
            "Status": "active"
        }
    ],
    "ClusterSnapshotCopyStatus": {
        "DestinationRegion": "us-west-2",
        "ManualSnapshotRetentionPeriod": -1,
        "RetentionPeriod": 1,
        "SnapshotCopyGrantName": "snapshotCopyGrantName"
    },
    "ClusterStatus": "available",
    "ClusterSubnetGroupName": "default",
    "ClusterVersion": "1.0",
    "DBName": "dev",
    "DeferredMaintenanceWindows": [
        {
            "DeferMaintenanceEndTime": "2020-10-07T20:34:01.000Z",
            "DeferMaintenanceIdentifier": "deferMaintenanceIdentifier",
            "DeferMaintenanceStartTime": "2020-09-07T20:34:01.000Z"
        }
     ],
    "ElasticIpStatus": {
        "ElasticIp": "203.0.113.29",
        "Status": "active"
    },
    "ElasticResizeNumberOfNodeOptions": "4",  
    "Encrypted": false,
    "Endpoint": {
        "Address": "redshift-cluster-1.example.us-west-2.redshift.amazonaws.com",
        "Port": 5439
    },
    "EnhancedVpcRouting": false,
    "ExpectedNextSnapshotScheduleTime": "2020-10-13T20:34:01.000Z",
    "ExpectedNextSnapshotScheduleTimeStatus": "OnTrack",
    "HsmStatus": {
        "HsmClientCertificateIdentifier": "hsmClientCertificateIdentifier",
        "HsmConfigurationIdentifier": "hsmConfigurationIdentifier",
        "Status": "applying"
    },
    "IamRoles": [
        {
             "ApplyStatus": "in-sync",
             "IamRoleArn": "arn:aws:iam::111122223333:role/RedshiftCopyUnload"   
        }
    ],
    "KmsKeyId": "kmsKeyId",
    "LoggingStatus": {
        "BucketName": "amzn-s3-demo-bucket",
        "LastFailureMessage": "test message",
        "LastFailureTime": "2020-08-09T13:00:00.000Z",
        "LastSuccessfulDeliveryTime": "2020-08-08T13:00:00.000Z",
        "LoggingEnabled": true,
        "S3KeyPrefix": "/"
    },
    "MaintenanceTrackName": "current",
    "ManualSnapshotRetentionPeriod": -1,
    "MasterUsername": "awsuser",
    "NextMaintenanceWindowStartTime": "2020-08-09T13:00:00.000Z",
    "NodeType": "dc2.large",
    "NumberOfNodes": 2,
    "PendingActions": [],
    "PendingModifiedValues": {
        "AutomatedSnapshotRetentionPeriod": 0,
        "ClusterIdentifier": "clusterIdentifier",
        "ClusterType": "clusterType",
        "ClusterVersion": "clusterVersion",
        "EncryptionType": "None",
        "EnhancedVpcRouting": false,
        "MaintenanceTrackName": "maintenanceTrackName",
        "MasterUserPassword": "masterUserPassword",
        "NodeType": "dc2.large",
        "NumberOfNodes": 1,
        "PubliclyAccessible": true
    },
    "PreferredMaintenanceWindow": "sun:13:00-sun:13:30",
    "PubliclyAccessible": true,
    "ResizeInfo": {
        "AllowCancelResize": true,
        "ResizeType": "ClassicResize"
    },
    "RestoreStatus": {
        "CurrentRestoreRateInMegaBytesPerSecond": 15,
        "ElapsedTimeInSeconds": 120,
        "EstimatedTimeToCompletionInSeconds": 100,
        "ProgressInMegaBytes": 10,
        "SnapshotSizeInMegaBytes": 1500,
        "Status": "restoring"
    },
    "SnapshotScheduleIdentifier": "snapshotScheduleIdentifier",
    "SnapshotScheduleState": "ACTIVE",
     "VpcId": "vpc-example",
    "VpcSecurityGroups": [
        {
            "Status": "active",
            "VpcSecurityGroupId": "sg-example"
        }
    ]
}
```

# AwsRoute53Ressourcen in ASFF
<a name="asff-resourcedetails-awsroute53"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsRoute53` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsRoute53HostedZone
<a name="asff-resourcedetails-awsroute53hostedzone"></a>

Das `AwsRoute53HostedZone` Objekt stellt Informationen über eine von Amazon Route 53 gehostete Zone bereit, einschließlich der vier Nameserver, die der Hosting-Zone zugewiesen sind. Eine gehostete Zone stellt eine Sammlung von Datensätzen dar, die zusammen verwaltet werden können und zu einem einzigen übergeordneten Domainnamen gehören.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsRoute53HostedZone` Objekt. Beschreibungen der `AwsRoute53HostedZone` Attribute finden Sie unter [AwsRoute53 HostedZoneDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRoute53HostedZoneDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsRoute53HostedZone": {
    "HostedZone": {
        "Id": "Z06419652JEMGO9TA2XKL",
        "Name": "asff.testing",
        "Config": {
            "Comment": "This is an example comment."
        }
    },
    "NameServers": [
        "ns-470.awsdns-32.net",
        "ns-1220.awsdns-12.org",
        "ns-205.awsdns-13.com",
        "ns-1960.awsdns-51.co.uk"
    ],
    "QueryLoggingConfig": {
        "CloudWatchLogsLogGroupArn": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:123456789012:log-group:asfftesting:*",
            "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "HostedZoneId": "Z00932193AF5H180PPNZD"
        }
    },
    "Vpcs": [
        {
            "Id": "vpc-05d7c6e36bc03ea76",
            "Region": "us-east-1"
        }
    ]
}
```

# AwsS3Ressourcen in ASFF
<a name="asff-resourcedetails-awss3"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsS3` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsS3AccessPoint
<a name="asff-resourcedetails-awss3accesspoint"></a>

`AwsS3AccessPoint`bietet Informationen über einen Amazon S3 S3-Zugriffspunkt. S3-Zugriffspunkte sind benannte Netzwerkendpunkte, die an S3-Buckets angeschlossen sind, mit denen Sie S3-Objektoperationen ausführen können.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das Objekt. `AwsS3AccessPoint` *Beschreibungen der `AwsS3AccessPoint` Attribute finden Sie unter [awSS3 AccessPointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3AccessPointDetails.html) in der AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsS3AccessPoint": {
        "AccessPointArn": "arn:aws:s3:us-east-1:123456789012:accesspoint/asff-access-point",
        "Alias": "asff-access-point-hrzrlukc5m36ft7okagglf3gmwluquse1b-s3alias",
        "Bucket": "amzn-s3-demo-bucket",
        "BucketAccountId": "123456789012",
        "Name": "asff-access-point",
        "NetworkOrigin": "VPC",
        "PublicAccessBlockConfiguration": {
            "BlockPublicAcls": true,
            "BlockPublicPolicy": true,
            "IgnorePublicAcls": true,
            "RestrictPublicBuckets": true
        },
        "VpcConfiguration": {
            "VpcId": "vpc-1a2b3c4d5e6f1a2b3"
        }
}
```

## AwsS3AccountPublicAccessBlock
<a name="asff-resourcedetails-awss3accountpublicaccessblock"></a>

`AwsS3AccountPublicAccessBlock`bietet Informationen zur Amazon S3 Public Access Block-Konfiguration für Konten.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsS3AccountPublicAccessBlock` Objekt. *Beschreibungen der `AwsS3AccountPublicAccessBlock` Attribute finden Sie unter [awSS3 AccountPublicAccessBlockDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3AccountPublicAccessBlockDetails.html) in der AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsS3AccountPublicAccessBlock": {
    "BlockPublicAcls": true,
    "BlockPublicPolicy": true,
    "IgnorePublicAcls": false,
    "RestrictPublicBuckets": true
}
```

## AwsS3Bucket
<a name="asff-resourcedetails-awss3bucket"></a>

Das `AwsS3Bucket` Objekt enthält Details zu einem Amazon S3 S3-Bucket.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsS3Bucket` Objekt. *Beschreibungen der `AwsS3Bucket` Attribute finden Sie unter [awSS3 BucketDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3BucketDetails.html) in der AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsS3Bucket": {
    "AccessControlList": "{\"grantSet\":null,\"grantList\":[{\"grantee\":{\"id\":\"4df55416215956920d9d056aa8b99803a294ea221222bb668b55a8c6bca81094\",\"displayName\":null},\"permission\":\"FullControl\"},{\"grantee\":\"AllUsers\",\"permission\":\"ReadAcp\"},{\"grantee\":\"AuthenticatedUsers\",\"permission\":\"ReadAcp\"}",,
    "BucketLifecycleConfiguration": {
       "Rules": [
           {
               "AbortIncompleteMultipartUpload": {
                   "DaysAfterInitiation": 5
               },
               "ExpirationDate": "2021-11-10T00:00:00.000Z",
               "ExpirationInDays": 365,
               "ExpiredObjectDeleteMarker": false,
               "Filter": {
                   "Predicate": {
                       "Operands": [
                           {
                               "Prefix": "tmp/",
                               "Type": "LifecyclePrefixPredicate"
                           },
                           {
                               "Tag": {
                                   "Key": "ArchiveAge",
                                   "Value": "9m"
                               },
                               "Type": "LifecycleTagPredicate"
                           }
                       ],
                       "Type": "LifecycleAndOperator"
                   }
               },
               "ID": "Move rotated logs to Glacier",
               "NoncurrentVersionExpirationInDays": -1,
               "NoncurrentVersionTransitions": [
                   {
                       "Days": 2,
                       "StorageClass": "GLACIER"
                   }
               ],
               "Prefix": "rotated/",
               "Status": "Enabled",
               "Transitions": [
                   {
                       "Date": "2020-11-10T00:00:00.000Z",
                       "Days": 100,
                       "StorageClass": "GLACIER"
                   }
               ]
           }
       ]
    },
    "BucketLoggingConfiguration": {
    	"DestinationBucketName": "s3serversideloggingbucket-123456789012",
    	"LogFilePrefix": "buckettestreadwrite23435/"
    },
    "BucketName": "amzn-s3-demo-bucket",
    "BucketNotificationConfiguration": {
    	"Configurations": [{
    		"Destination": "arn:aws:lambda:us-east-1:123456789012:function:s3_public_write",
    		"Events": [
    			"s3:ObjectCreated:Put"
    		],
    		"Filter": {
    			"S3KeyFilter": {
    				"FilterRules": [
    				{
    					"Name": "AffS3BucketNotificationConfigurationS3KeyFilterRuleName.PREFIX",
    					"Value": "pre"
    				},
    				{
    					"Name": "AffS3BucketNotificationConfigurationS3KeyFilterRuleName.SUFFIX",
    					"Value": "suf"
    				},
    				]
    			}
    		},
    		"Type": "LambdaConfiguration"
    	}]
    },
    "BucketVersioningConfiguration": {
    	"IsMfaDeleteEnabled": true,
    	"Status": "Off"
    },
    "BucketWebsiteConfiguration": {
    	"ErrorDocument": "error.html",
    	"IndexDocumentSuffix": "index.html",
    	"RedirectAllRequestsTo": {
    		"HostName": "example.com",
    		"Protocol": "http"
    	},
    	"RoutingRules": [{
    		"Condition": {
    			"HttpErrorCodeReturnedEquals": "Redirected",
    			"KeyPrefixEquals": "index"
    					},
    		"Redirect": {
    			"HostName": "example.com",
    			"HttpRedirectCode": "401",
    			"Protocol": "HTTP",
    			"ReplaceKeyPrefixWith": "string",
    			"ReplaceKeyWith": "string"
    		}
    	}]
    },
    "CreatedAt": "2007-11-30T01:46:56.000Z",
    "ObjectLockConfiguration": {
    	"ObjectLockEnabled": "Enabled",
    	"Rule": {
    		"DefaultRetention": {
    			"Days": null,
    			"Mode": "GOVERNANCE",
    			"Years": 12
    		},
    	},
    },
    "OwnerId": "AIDACKCEVSQ6C2EXAMPLE",
    "OwnerName": "s3bucketowner",
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "BlockPublicPolicy": true,
        "IgnorePublicAcls": true,
        "RestrictPublicBuckets": true,
    },
    "ServerSideEncryptionConfiguration": {
        "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "AES256",
                    "KMSMasterKeyID": "12345678-abcd-abcd-abcd-123456789012"
                }
            }
        ]
     }
}
```

## AwsS3Object
<a name="asff-resourcedetails-awss3object"></a>

Das `AwsS3Object` Objekt stellt Informationen über ein Amazon S3 S3-Objekt bereit.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsS3Object` Objekt. *Beschreibungen der `AwsS3Object` Attribute finden Sie unter [awSS3 ObjectDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3ObjectDetails.html) in der AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsS3Object": {
    "ContentType": "text/html",
    "ETag": "\"30a6ec7e1a9ad79c203d05a589c8b400\"",
    "LastModified": "2012-04-23T18:25:43.511Z",
    "ServerSideEncryption": "aws:kms",
    "SSEKMSKeyId": "arn:aws:kms:us-west-2:123456789012:key/4dff8393-e225-4793-a9a0-608ec069e5a7",
    "VersionId": "ws31OurgOOjH_HHllIxPE35P.MELYaYh"
}
```

# AwsSageMakerRessourcen in ASFF
<a name="asff-resourcedetails-awssagemaker"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsSageMaker` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsSageMakerNotebookInstance
<a name="asff-resourcedetails-awssagemakernotebookinstance"></a>

Das `AwsSageMakerNotebookInstance` Objekt stellt Informationen über eine Amazon SageMaker AI-Notebook-Instance bereit, bei der es sich um eine Recheninstanz für maschinelles Lernen handelt, auf der die Jupyter Notebook App ausgeführt wird.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das Objekt. `AwsSageMakerNotebookInstance` Beschreibungen der `AwsSageMakerNotebookInstance` Attribute finden Sie [AwsSageMakerNotebookInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSageMakerNotebookInstanceDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsSageMakerNotebookInstance": {
    "DirectInternetAccess": "Disabled",
    "InstanceMetadataServiceConfiguration": {
    	"MinimumInstanceMetadataServiceVersion": "1",
    },
    "InstanceType": "ml.t2.medium",
    "LastModifiedTime": "2022-09-09 22:48:32.012000+00:00",
    "NetworkInterfaceId": "eni-06c09ac2541a1bed3",
    "NotebookInstanceArn": "arn:aws:sagemaker:us-east-1:001098605940:notebook-instance/sagemakernotebookinstancerootaccessdisabledcomplia-8myjcyofzixm",
    "NotebookInstanceName": "SagemakerNotebookInstanceRootAccessDisabledComplia-8MYjcyofZiXm",
    "NotebookInstanceStatus": "InService",
    "PlatformIdentifier": "notebook-al1-v1",
    "RoleArn": "arn:aws:iam::001098605940:role/sechub-SageMaker-1-scenar-SageMakerCustomExecution-1R0X32HGC38IW",
    "RootAccess": "Disabled",
    "SecurityGroups": [
    	"sg-06b347359ab068745"
    ],
    "SubnetId": "subnet-02c0deea5fa64578e",
    "Url": "sagemakernotebookinstancerootaccessdisabledcomplia-8myjcyofzixm.notebook.us-east-1.sagemaker.aws",
    "VolumeSizeInGB": 5
}
```

# AwsSecretsManagerRessourcen in ASFF
<a name="asff-resourcedetails-awssecretsmanager"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsSecretsManager` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsSecretsManagerSecret
<a name="asff-resourcedetails-awssecretsmanagersecret"></a>

Das `AwsSecretsManagerSecret` Objekt enthält Details zu einem Secrets Manager Manager-Geheimnis.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsSecretsManagerSecret` Objekt. Beschreibungen der `AwsSecretsManagerSecret` Attribute finden Sie [AwsSecretsManagerSecretDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecretsManagerSecretDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsSecretsManagerSecret": {
    "RotationRules": {
        "AutomaticallyAfterDays": 30
    },
    "RotationOccurredWithinFrequency": true,
    "KmsKeyId": "kmsKeyId",
    "RotationEnabled": true,
    "RotationLambdaArn": "arn:aws:lambda:us-west-2:777788889999:function:MyTestRotationLambda",
    "Deleted": false,
    "Name": "MyTestDatabaseSecret",
    "Description": "My test database secret"
}
```

# AwsSnsRessourcen in ASFF
<a name="asff-resourcedetails-awssns"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsSns` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsSnsTopic
<a name="asff-resourcedetails-awssnstopic"></a>

Das `AwsSnsTopic` Objekt enthält Details zu einem Thema von Amazon Simple Notification Service.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsSnsTopic` Objekt. Beschreibungen der `AwsSnsTopic` Attribute finden Sie [AwsSnsTopicDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSnsTopicDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsSnsTopic": {
    "ApplicationSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/ApplicationSuccessFeedbackRoleArn",                        
    "FirehoseFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/FirehoseFailureFeedbackRoleArn",
    "FirehoseSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/FirehoseSuccessFeedbackRoleArn",
    "HttpFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/HttpFailureFeedbackRoleArn",
    "HttpSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/HttpSuccessFeedbackRoleArn",                         
    "KmsMasterKeyId": "alias/ExampleAlias",
    "Owner": "123456789012",
    "SqsFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/SqsFailureFeedbackRoleArn",
    "SqsSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/SqsSuccessFeedbackRoleArn",                         
    "Subscription": {
         "Endpoint": "http://sampleendpoint.com",
         "Protocol": "http"
    },
    "TopicName": "SampleTopic"
}
```

# AwsSqsRessourcen in ASFF
<a name="asff-resourcedetails-awssqs"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsSqs` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsSqsQueue
<a name="asff-resourcedetails-awssqsqueue"></a>

Das `AwsSqsQueue` Objekt enthält Informationen über eine Amazon Simple Queue Service-Warteschlange.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsSqsQueue` Objekt. Beschreibungen der `AwsSqsQueue` Attribute finden Sie [AwsSqsQueueDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSqsQueueDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsSqsQueue": {
    "DeadLetterTargetArn": "arn:aws:sqs:us-west-2:123456789012:queue/target",
    "KmsDataKeyReusePeriodSeconds": 60,,
    "KmsMasterKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "QueueName": "sample-queue"
}
```

# AwsSsmRessourcen in ASFF
<a name="asff-resourcedetails-awsssm"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsSsm` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsSsmPatchCompliance
<a name="asff-resourcedetails-awsssmpatchcompliance"></a>

Das `AwsSsmPatchCompliance` Objekt stellt Informationen über den Status eines Patches auf einer Instanz bereit, basierend auf der Patch-Baseline, die zum Patchen der Instanz verwendet wurde.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsSsmPatchCompliance` Objekt. Beschreibungen der `AwsSsmPatchCompliance` Attribute finden Sie [AwsSsmPatchComplianceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSsmPatchComplianceDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsSsmPatchCompliance": {
    "Patch": {
        "ComplianceSummary": {
            "ComplianceType": "Patch",
            "CompliantCriticalCount": 0,
            "CompliantHighCount": 0,
            "CompliantInformationalCount": 0,
            "CompliantLowCount": 0,
            "CompliantMediumCount": 0,
            "CompliantUnspecifiedCount": 461,
            "ExecutionType": "Command",
            "NonCompliantCriticalCount": 0,
            "NonCompliantHighCount": 0,
            "NonCompliantInformationalCount": 0,
            "NonCompliantLowCount": 0,
            "NonCompliantMediumCount": 0,
            "NonCompliantUnspecifiedCount": 0,
            "OverallSeverity": "UNSPECIFIED",
            "PatchBaselineId": "pb-0c5b2769ef7cbe587",
            "PatchGroup": "ExamplePatchGroup",
            "Status": "COMPLIANT"
        }
    }
}
```

# AwsStepFunctionsRessourcen in ASFF
<a name="asff-resourcedetails-awsstepfunctions"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsStepFunctions` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsStepFunctionStateMachine
<a name="asff-resourcedetails-awsstepfunctionstatemachine"></a>

Das `AwsStepFunctionStateMachine` Objekt stellt Informationen über eine AWS Step Functions Zustandsmaschine bereit. Dabei handelt es sich um einen Workflow, der aus einer Reihe von ereignisgesteuerten Schritten besteht.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das Objekt. `AwsStepFunctionStateMachine` Beschreibungen der `AwsStepFunctionStateMachine` Attribute finden Sie [AwsStepFunctionStateMachine](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsStepFunctionStateMachineDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsStepFunctionStateMachine": {
    "StateMachineArn": "arn:aws:states:us-east-1:123456789012:stateMachine:StepFunctionsLogDisableNonCompliantResource-fQLujTeXvwsb",
    "Name": "StepFunctionsLogDisableNonCompliantResource-fQLujTeXvwsb",
    "Status": "ACTIVE",
    "RoleArn": "arn:aws:iam::123456789012:role/teststepfunc-StatesExecutionRole-1PNM71RVO1UKT",
    "Type": "STANDARD",
    "LoggingConfiguration": {
        "Level": "OFF",
        "IncludeExecutionData": false
    },
    "TracingConfiguration": {
        "Enabled": false
    }
}
```

# AwsWafRessourcen in ASFF
<a name="asff-resourcedetails-awswaf"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsWaf` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsWafRateBasedRule
<a name="asff-resourcedetails-awswafratebasedrule"></a>

Das `AwsWafRateBasedRule` Objekt enthält Details zu einer AWS WAF ratenbasierten Regel für globale Ressourcen. Eine AWS WAF ratenbasierte Regel bietet Einstellungen, mit denen angegeben wird, wann eine Anfrage zugelassen, blockiert oder gezählt werden soll. Ratenbasierte Regeln beinhalten die Anzahl der Anfragen, die über einen bestimmten Zeitraum eingehen.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das Objekt. `AwsWafRateBasedRule` Beschreibungen der `AwsWafRateBasedRule` Attribute finden Sie [AwsWafRateBasedRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRateBasedRuleDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsWafRateBasedRule":{
    "MatchPredicates" : [{
        "DataId" : "391b7a7e-5f00-40d2-b114-3f27ceacbbb0",
        "Negated" : "True",
        "Type" : "IPMatch" ,
    }],
    "MetricName" : "MetricName",
    "Name" : "Test",
    "RateKey" : "IP",
    "RateLimit" : 235000,
    "RuleId" : "5dfb4085-f103-4ec6-b39a-d4a0dae5f47f"
}
```

## AwsWafRegionalRateBasedRule
<a name="asff-resourcedetails-awswafregionalratebasedrule"></a>

Das `AwsWafRegionalRateBasedRule` Objekt enthält Details zu einer ratenbasierten Regel für regionale Ressourcen. Eine ratenbasierte Regel bietet Einstellungen, mit denen angegeben wird, wann eine Anfrage zugelassen, blockiert oder gezählt werden soll. Ratenbasierte Regeln beinhalten die Anzahl der Anfragen, die über einen bestimmten Zeitraum eingehen.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das Objekt. `AwsWafRegionalRateBasedRule` Beschreibungen der `AwsWafRegionalRateBasedRule` Attribute finden Sie [AwsWafRegionalRateBasedRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRateBasedRuleDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsWafRegionalRateBasedRule":{
    "MatchPredicates" : [{
        "DataId" : "391b7a7e-5f00-40d2-b114-3f27ceacbbb0",
        "Negated" : "True",
        "Type" : "IPMatch" ,
    }],
    "MetricName" : "MetricName",
    "Name" : "Test",
    "RateKey" : "IP",
    "RateLimit" : 235000,
    "RuleId" : "5dfb4085-f103-4ec6-b39a-d4a0dae5f47f"
}
```

## AwsWafRegionalRule
<a name="asff-resourcedetails-awswafregionalrule"></a>

Das `AwsWafRegionalRule` Objekt enthält Details zu einer AWS WAF regionalen Regel. Diese Regel identifiziert die Webanfragen, die Sie zulassen, blockieren oder zählen möchten.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsWafRegionalRule` Objekt. Beschreibungen der `AwsWafRegionalRule` Attribute finden Sie [AwsWafRegionalRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRuleDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsWafRegionalRule": { 
    "MetricName": "SampleWAF_Rule__Metric_1",
    "Name": "bb-waf-regional-rule-not-empty-conditions-compliant",
    "RuleId": "8f651760-24fa-40a6-a9ed-4b60f1de95fe",
    "PredicateList": [{
        "DataId": "127d9346-e607-4e93-9286-c1296fb5445a",
        "Negated": false,
        "Type": "GeoMatch"
    }]
}
```

## AwsWafRegionalRuleGroup
<a name="asff-resourcedetails-awswafregionalrulegroup"></a>

Das `AwsWafRegionalRuleGroup` Objekt enthält Details zu einer AWS WAF regionalen Regelgruppe. Eine Regelgruppe ist eine Sammlung vordefinierter Regeln, die Sie einer Web-Zugriffskontrollliste (Web-ACL) hinzufügen.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsWafRegionalRuleGroup` Objekt. Beschreibungen der `AwsWafRegionalRuleGroup` Attribute finden Sie [AwsWafRegionalRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRuleGroupDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsWafRegionalRuleGroup": { 
    "MetricName": "SampleWAF_Metric_1",
    "Name": "bb-WAFClassicRuleGroupWithRuleCompliant",
    "RuleGroupId": "2012ca6d-e66d-4d9b-b766-bfb03ad77cfb",
    "Rules": [{
        "Action": {
            "Type": "ALLOW"
        }
    }],
        "Priority": 1,
        "RuleId": "cdd225da-32cf-4773-8dc5-3bca3ed9c19c",
        "Type": "REGULAR"
}
```

## AwsWafRegionalWebAcl
<a name="asff-resourcedetails-awswafregionalwebacl"></a>

`AwsWafRegionalWebAcl`enthält Einzelheiten zu einer AWS WAF regionalen Web-Zugriffskontrollliste (Web Access Control List, Web-ACL). Eine Web-ACL enthält die Regeln, die die Anfragen identifizieren, die Sie zulassen, blockieren oder zählen möchten.

Im Folgenden finden Sie ein Beispiel für einen `AwsWafRegionalWebAcl` Befund im AWS Security Finding Format (ASFF). Beschreibungen der `AwsApiGatewayV2Stage` Attribute finden Sie [AwsWafRegionalWebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalWebAclDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsWafRegionalWebAcl": {
    "DefaultAction": "ALLOW",
    "MetricName" : "web-regional-webacl-metric-1",
    "Name": "WebACL_123",
    "RulesList": [
        {
            "Action": {
                "Type": "Block"
            },
            "Priority": 3,
            "RuleId": "24445857-852b-4d47-bd9c-61f05e4d223c",
            "Type": "REGULAR",
            "ExcludedRules": [
                {
                    "ExclusionType": "Exclusion",
                    "RuleId": "Rule_id_1"
                }
            ],
            "OverrideAction": {
                "Type": "OVERRIDE"
            }
        }
    ],
    "WebAclId": "443c76f4-2e72-4c89-a2ee-389d501c1f67"
}
```

## AwsWafRule
<a name="asff-resourcedetails-awswafrule"></a>

`AwsWafRule`stellt Informationen zu einer AWS WAF Regel bereit. Eine AWS WAF Regel identifiziert die Webanfragen, die Sie zulassen, blockieren oder zählen möchten.

Im Folgenden finden Sie ein Beispiel für einen `AwsWafRule` Befund im AWS Security Finding Format (ASFF). Beschreibungen der `AwsApiGatewayV2Stage` Attribute finden Sie [AwsWafRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRuleDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsWafRule": {
    "MetricName": "AwsWafRule_Metric_1",
    "Name": "AwsWafRule_Name_1",
    "PredicateList": [{
        "DataId": "cdd225da-32cf-4773-1dc2-3bca3ed9c19c",
        "Negated": false,
        "Type": "GeoMatch"
    }],
    "RuleId": "8f651760-24fa-40a6-a9ed-4b60f1de953e"
}
```

## AwsWafRuleGroup
<a name="asff-resourcedetails-awswafrulegroup"></a>

`AwsWafRuleGroup`stellt Informationen zu einer AWS WAF Regelgruppe bereit. Eine AWS WAF Regelgruppe ist eine Sammlung vordefinierter Regeln, die Sie einer Web-Zugriffskontrollliste (Web-ACL) hinzufügen.

Im Folgenden finden Sie ein Beispiel für einen `AwsWafRuleGroup` Befund im AWS Security Finding Format (ASFF). Beschreibungen der `AwsApiGatewayV2Stage` Attribute finden Sie [AwsWafRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRuleGroupDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsWafRuleGroup": {
    "MetricName": "SampleWAF_Metric_1",
    "Name": "bb-WAFRuleGroupWithRuleCompliant",
    "RuleGroupId": "2012ca6d-e66d-4d9b-b766-bfb03ad77cfb",
    "Rules": [{
        "Action": {
            "Type": "ALLOW",
        },
        "Priority": 1,
        "RuleId": "cdd225da-32cf-4773-8dc5-3bca3ed9c19c",
        "Type": "REGULAR"
    }]
}
```

## AwsWafv2RuleGroup
<a name="asff-resourcedetails-awswafv2rulegroup"></a>

Das `AwsWafv2RuleGroup` Objekt enthält Details zu einer AWS WAF V2-Regelgruppe.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsWafv2RuleGroup` Objekt. Beschreibungen der `AwsWafv2RuleGroup` Attribute finden Sie unter [AwsWafv2 RuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafv2RuleGroupDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsWafv2RuleGroup": {
    "Arn": "arn:aws:wafv2:us-east-1:123456789012:global/rulegroup/wafv2rulegroupasff/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Capacity": 1000,
    "Description": "Resource for ASFF",
    "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Name": "wafv2rulegroupasff",
    "Rules": [{
    	"Action": {
    	"Allow": {
    		"CustomRequestHandling": {
    			"InsertHeaders": [
    				{
    				"Name": "AllowActionHeader1Name",
    				"Value": "AllowActionHeader1Value"
    				},
    				{
    				"Name": "AllowActionHeader2Name",
    				"Value": "AllowActionHeader2Value"
    				}
    			]
    		}
    	},
    	"Name": "RuleOne",
    	"Priority": 1,
    	"VisibilityConfig": {
    		"CloudWatchMetricsEnabled": true,
    		"MetricName": "rulegroupasff",
    		"SampledRequestsEnabled": false
    	}
    }],
    "VisibilityConfig": {
    	"CloudWatchMetricsEnabled": true,
    	"MetricName": "rulegroupasff",
    	"SampledRequestsEnabled": false
    }
}
```

## AwsWafWebAcl
<a name="asff-resourcedetails-awswafwebacl"></a>

Das `AwsWafWebAcl` Objekt enthält Details zu einer AWS WAF Web-ACL.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsWafWebAcl` Objekt. Beschreibungen der `AwsWafWebAcl` Attribute finden Sie [AwsWafWebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafWebAclDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsWafWebAcl": {
    "DefaultAction": "ALLOW",
    "Name": "MyWafAcl",
    "Rules": [
        {
            "Action": {
                "Type": "ALLOW"
            },
            "ExcludedRules": [
                {
                    "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98"
                }
            ],
            "OverrideAction": {
                "Type": "NONE"
            },
            "Priority": 1,
            "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98",
            "Type": "REGULAR"
        }
    ],
    "WebAclId": "waf-1234567890"
}
```

## AwsWafv2WebAcl
<a name="asff-resourcedetails-awswafv2webacl"></a>

Das `AwsWafv2WebAcl` Objekt enthält Details zu einer AWS WAF V2-Web-ACL.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsWafv2WebAcl` Objekt. Beschreibungen der `AwsWafv2WebAcl` Attribute finden Sie unter [AwsWafv2 WebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafv2WebAclDetails.html) in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsWafv2WebAcl": {
    "Arn": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/WebACL-RoaD4QexqSxG/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Capacity": 1326,
    "CaptchaConfig": {
    	"ImmunityTimeProperty": {
    		"ImmunityTime": 500
    	}
    },
    "DefaultAction": {
    	"Block": {}
    },
    "Description": "Web ACL for JsonBody testing",
    "ManagedbyFirewallManager": false,
    "Name": "WebACL-RoaD4QexqSxG",
    "Rules": [{
    	"Action": {
    		"RuleAction": {
    			"Block": {}
    		}
    	},
    	"Name": "TestJsonBodyRule",
    	"Priority": 1,
    	"VisibilityConfig": {
    		"SampledRequestsEnabled": true,
    		"CloudWatchMetricsEnabled": true,
    		"MetricName": "JsonBodyMatchMetric"
    	}
    }],
    "VisibilityConfig": {
    	"SampledRequestsEnabled": true,
    	"CloudWatchMetricsEnabled": true,
    	"MetricName": "TestingJsonBodyMetric"
    }
}
```

# AwsXrayRessourcen in ASFF
<a name="asff-resourcedetails-awsxray"></a>

Im Folgenden finden Sie Beispiele für die ASFF-Syntax ( AWS Security Finding Format) für `AwsXray` Ressourcen.

AWS Security Hub CSPM normalisiert Ergebnisse aus verschiedenen Quellen in ASFF. Hintergrundinformationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

## AwsXrayEncryptionConfig
<a name="asff-resourcedetails-awsxrayencryptionconfig"></a>

Das `AwsXrayEncryptionConfig` Objekt enthält Informationen zur Verschlüsselungskonfiguration für AWS X-Ray.

Das folgende Beispiel zeigt das AWS Security Finding Format (ASFF) für das `AwsXrayEncryptionConfig` Objekt. Beschreibungen der `AwsXrayEncryptionConfig` Attribute finden Sie [AwsXrayEncryptionConfigDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsXrayEncryptionConfigDetails.html)in der *AWS Security Hub API-Referenz.*

**Beispiel**

```
"AwsXRayEncryptionConfig":{
    "KeyId": "arn:aws:kms:us-east-2:222222222222:key/example-key",
    "Status": "UPDATING",
    "Type":"KMS"
}
```

# CodeRepositoryObjekt in ASFF
<a name="asff-resourcedetails-coderepository"></a>

Das `CodeRepository` Objekt enthält Informationen über ein externes Code-Repository, das Sie mit AWS Ressourcen verbunden und Amazon Inspector so konfiguriert haben, dass es nach Sicherheitslücken sucht.

Das folgende Beispiel zeigt die ASFF-Syntax ( AWS Security Finding Format) für das `CodeRepository` Objekt. Beschreibungen der `CodeRepository` Attribute finden Sie [CodeRepositoryDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CodeRepositoryDetails.html)in der *AWS Security Hub API-Referenz.* Hintergrundinformationen zu ASFF finden Sie unter[AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md).

**Beispiel**

```
"CodeRepository": {
    "ProviderType": "GITLAB_SELF_MANAGED",
    "ProjectName": "projectName",
    "CodeSecurityIntegrationArn": "arn:aws:inspector2:us-east-1:123456789012:codesecurity-integration/00000000-0000-0000-0000-000000000000"
}
```

# ContainerObjekt in ASFF
<a name="asff-resourcedetails-container"></a>

Das folgende Beispiel zeigt die ASFF-Syntax ( AWS Security Finding Format) für das `Container` Objekt. Beschreibungen der `Container` Attribute finden Sie [ContainerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ContainerDetails.html)in der *AWS Security Hub API-Referenz.* Hintergrundinformationen zu ASFF finden Sie unter[AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md).

**Beispiel**

```
"Container": {
    "ContainerRuntime": "docker",
    "ImageId": "image12",
    "ImageName": "1111111/knotejs@sha256:372131c9fef111111111111115f4ed3ea5f9dce4dc3bd34ce21846588a3",
    "LaunchedAt": "2018-09-29T01:25:54Z",
    "Name": "knote",
    "Privileged": true,
    "VolumeMounts": [{
        "Name": "vol-03909e9",
        "MountPath": "/mnt/etc"
    }]
}
```

# OtherObjekt in ASFF
<a name="asff-resourcedetails-other"></a>

Im AWS Security Finding Format (ASFF) spezifiziert das `Other` Objekt benutzerdefinierte Felder und Werte. Weitere Informationen zu ASFF finden Sie unter. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md)

Mithilfe des `Other` Objekts können Sie benutzerdefinierte Felder und Werte für eine Ressource angeben. Sie können das `Other` Objekt in den folgenden Fällen verwenden:
+ Der Ressourcentyp hat kein entsprechendes `Details` Objekt. Verwenden Sie das `Other` Objekt, um Details für eine Ressource anzugeben.
+ Das `Details` Objekt für den Ressourcentyp enthält nicht alle Attribute, die Sie angeben möchten. Verwenden Sie in diesem Fall das `Details` Objekt für den Ressourcentyp, um verfügbare Attribute anzugeben. Verwenden Sie das `Other` Objekt, um Attribute anzugeben, die sich nicht im typspezifischen `Details` Objekt befinden.
+ Der Ressourcentyp gehört nicht zu den angegebenen Typen. Stellen Sie in diesem Fall `Resource.Type` auf ein `Other` und verwenden Sie das `Other` Objekt, um die Details anzugeben.

**Typ:** Karte mit bis zu 50 Schlüssel-Wert-Paaren

Jedes Schlüssel-Wert-Paar muss die folgenden Anforderungen erfüllen.
+ Der Schlüssel muss weniger als 128 Zeichen enthalten.
+ Der Wert muss weniger als 1.024 Zeichen enthalten.

# Einblicke in Security Hub CSPM anzeigen
<a name="securityhub-insights"></a>

In AWS Security Hub CSPM ist ein *Einblick* eine Sammlung verwandter Ergebnisse. Ein Einblick kann einen bestimmten Sicherheitsbereich identifizieren, der Aufmerksamkeit und Intervention erfordert. Ein Einblick könnte beispielsweise auf EC2 Fälle hinweisen, bei denen festgestellt wurde, dass schlechte Sicherheitspraktiken aufgedeckt wurden. Ein Insight bringt Ergebnisse von verschiedenen Ergebnis-Anbietern zusammen.

Jedes Insight wird von einer Gruppe durch Anweisung und optionale Filter definiert. Die Gruppe nach Anweisung gibt an, wie die übereinstimmenden Ergebnisse gruppiert werden sollen, und identifiziert den Elementtyp, für den das Insight gilt. Wenn beispielsweise ein Insight nach Ressourcenbezeichner gruppiert ist, erstellt das Insight eine Liste von Ressourcenbezeichnern. Die optionalen Filter identifizieren die passenden Ergebnisse für den Einblick. Beispielsweise möchten Sie möglicherweise nur Ergebnisse von bestimmten Anbietern oder Ergebnisse sehen, die mit bestimmten Ressourcentypen verknüpft sind.

Security Hub CSPM bietet mehrere integrierte verwaltete Einblicke. Sie können verwaltete Erkenntnisse nicht ändern oder löschen. Um Sicherheitsprobleme nachzuverfolgen, die für Ihre AWS Umgebung und Nutzung spezifisch sind, können Sie benutzerdefinierte Einblicke erstellen.

Auf der **Insights-Seite** in der AWS Security Hub CSPM-Konsole wird die Liste der verfügbaren Insights angezeigt.

Standardmäßig werden in der Liste sowohl verwaltete als auch benutzerdefinierte Erkenntnisse angezeigt. Um die Insight-Liste nach dem Insight-Typ zu filtern, wählen Sie den Insight-Typ aus dem Drop-down-Menü, das sich neben dem Filterfeld befindet.
+ Um alle verfügbaren Erkenntnisse anzuzeigen, wählen Sie **Alle Erkenntnisse** aus. Dies ist die Standardoption.
+ Um nur verwaltete Einblicke anzuzeigen, wählen Sie **Security Hub CSPM managed** insights.
+ Um nur benutzerdefinierte Insights anzuzeigen, wählen Sie **Custom** Insights.

Sie können die Insight-Liste auch nach dem Namen des Insights filtern. Geben Sie dazu in das Filterfeld den Text ein, der zum Filtern der Liste verwendet werden soll. Der Filter unterscheidet nicht zwischen Groß- und Kleinschreibung. Der Filter sucht nach Erkenntnissen, die den Text an einer beliebigen Stelle im Insight-Namen enthalten.

Ein Insight gibt nur dann Ergebnisse zurück, wenn Sie Integrationen oder Standards aktiviert haben, die zu passenden Ergebnissen führen. Zum Beispiel der verwaltete Einblick **29. Die Liste der Ressourcen mit der höchsten Anzahl fehlgeschlagener CIS-Prüfungen** gibt nur dann Ergebnisse zurück, wenn Sie eine Version des Benchmark-Standards der Center for Internet Security (CIS) AWS Foundations aktivieren.

# Überprüfung und Umsetzung der Erkenntnisse aus Security Hub CSPM
<a name="securityhub-insights-view-take-action"></a>

Für jeden Einblick ermittelt AWS Security Hub CSPM zunächst die Ergebnisse, die den Filterkriterien entsprechen, und verwendet dann das Gruppierungsattribut, um die übereinstimmenden Ergebnisse zu gruppieren.

Auf der **Insights-Seite** in der Konsole können Sie die Ergebnisse und Ergebnisse einsehen und entsprechende Maßnahmen ergreifen.

Wenn Sie die regionsübergreifende Aggregation aktivieren, enthalten die Ergebnisse für verwaltete Einblicke (wenn Sie in der Aggregationsregion angemeldet sind) Ergebnisse aus der Aggregationsregion und den verknüpften Regionen. Wenn die Erkenntnisse nicht nach Region gefiltert werden, enthalten die Ergebnisse für benutzerdefinierte Einblicke auch Ergebnisse aus der Aggregationsregion und verknüpften Regionen (wenn Sie bei der Aggregationsregion angemeldet sind). In anderen Regionen beziehen sich die Insight-Ergebnisse nur auf diese Region.

Informationen zur Konfiguration der regionsübergreifenden Aggregation finden Sie unter. [Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM](finding-aggregation.md)

## Insight-Ergebnisse anzeigen und entsprechende Maßnahmen ergreifen
<a name="securityhub-insight-results-console"></a>

Die Insight-Ergebnisse bestehen aus einer gruppierten Liste der Ergebnisse für den Insight. Wenn die Erkenntnisse beispielsweise nach Ressourcen-Identifikatoren gruppiert sind, dann sind die Insight-Ergebnisse die Liste der Ressourcen-Identifikatoren. Jedes Element in der Ergebnisliste gibt die Anzahl der übereinstimmenden Ergebnisse für dieses Element an.

Wenn die Ergebnisse nach Ressourcen-ID oder Ressourcentyp gruppiert sind, umfassen die Ergebnisse alle Ressourcen, die in den entsprechenden Ergebnissen enthalten sind. Dazu gehören Ressourcen, deren Typ sich von dem in den Filterkriterien angegebenen Ressourcentyp unterscheidet. Ein Insight identifiziert beispielsweise Ergebnisse, die mit S3-Buckets verknüpft sind. Wenn ein übereinstimmendes Ergebnis sowohl eine S3-Bucket-Ressource als auch eine IAM-Zugriffsschlüsselressource enthält, umfassen die Insight-Ergebnisse beide Ressourcen.

Auf der Security Hub CSPM-Konsole ist die Ergebnisliste von den Ergebnissen mit den meisten bis zu den wenigsten übereinstimmenden Ergebnissen sortiert. Security Hub CSPM kann nur 100 Ergebnisse anzeigen. Wenn es mehr als 100 Gruppierungswerte gibt, werden nur die ersten 100 angezeigt.

Zusätzlich zur Ergebnisliste wird in den Insight-Ergebnissen eine Reihe von Diagrammen angezeigt, die die Anzahl der übereinstimmenden Ergebnisse für die folgenden Attribute zusammenfassen.
+ **Bezeichnung des Schweregrads** — Anzahl der Ergebnisse für jeden Schweregrad
+ **AWS-Konto ID** — Die fünf wichtigsten Konten IDs für die übereinstimmenden Ergebnisse
+ **Ressourcentyp** — Die fünf wichtigsten Ressourcentypen für die passenden Ergebnisse
+ **Ressourcen-ID** — Die fünf wichtigsten Ressourcen IDs für die passenden Ergebnisse
+ **Produktname** — Die fünf besten Anbieter für die Suche nach den passenden Ergebnissen

Wenn Sie benutzerdefinierte Aktionen konfiguriert haben, können Sie ausgewählte Ergebnisse an eine benutzerdefinierte Aktion senden. Die Aktion muss mit einer CloudWatch Amazon-Regel für den `Security Hub Insight Results` Ereignistyp verknüpft sein. Weitere Informationen finden Sie unter [Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen](securityhub-cloudwatch-events.md). Wenn Sie keine benutzerdefinierten Aktionen konfiguriert haben, ist das **Aktionsmenü** deaktiviert.

------
#### [ Security Hub CSPM console ]

**So können Sie Insight-Ergebnisse anzeigen und entsprechende Maßnahmen ergreifen (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich ** Insights** aus.

1. Um die Liste der Insight-Ergebnisse anzuzeigen, wählen Sie den Insight-Namen aus.

1. Wählen Sie das Kontrollkästchen für jedes Ergebnis, das an die benutzerdefinierte Aktion gesendet werden soll.

1. Wählen Sie im Menü **Actions (Aktionen)** die benutzerdefinierte Aktion aus.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Um Insight-Ergebnisse einzusehen und entsprechende Maßnahmen zu ergreifen (API,) AWS CLI**

Verwenden Sie den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html)Betrieb der Security Hub CSPM-API, um Insight-Ergebnisse anzuzeigen. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)Befehl aus.

Um die Erkenntnisse zu identifizieren, für die Ergebnisse zurückgegeben werden sollen, benötigen Sie den Insight-ARN. Verwenden Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)API-Operation oder den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)Befehl, um die Erkenntnisse ARNs für benutzerdefinierte Erkenntnisse zu erhalten.

Im folgenden Beispiel werden die Ergebnisse für den angegebenen Einblick abgerufen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Informationen zum programmgesteuerten Erstellen benutzerdefinierter Aktionen finden Sie unter. [Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnissen an EventBridge](securityhub-cwe-custom-actions.md)

------

## Ergebnisse von Insight-Ergebnissen anzeigen und entsprechende Maßnahmen ergreifen (Konsole)
<a name="securityhub-insight-findings-console"></a>

In einer Insight-Ergebnisliste auf der Security Hub CSPM-Konsole können Sie die Ergebnisliste für jedes Ergebnis anzeigen.

**Um Insight-Ergebnisse anzuzeigen und entsprechende Maßnahmen zu ergreifen (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich ** Insights** aus.

1. Um die Liste der Insight-Ergebnisse anzuzeigen, wählen Sie den Insight-Namen aus.

1. Um die Liste der Ergebnisse für ein Insight-Ergebnis anzuzeigen, wählen Sie das Element aus der Ergebnisliste aus. Die Ergebnisliste zeigt die aktiven Ergebnisse für das ausgewählte Insight-Ergebnis mit dem Workflow-Status `NEW` oder `NOTIFIED`.

Von der Ergebnisliste aus können Sie die folgenden Aktionen ausführen:
+ [Ergebnisse im Security Hub CSPM filtern](securityhub-findings-manage.md)
+ [Details und Verlauf der Ergebnisse überprüfen](securityhub-findings-viewing.md#finding-view-details-console)
+ [Den Workflow-Status von Ergebnissen in Security Hub CSPM festlegen](findings-workflow-status.md)
+ [Ergebnisse an eine benutzerdefinierte Security Hub CSPM-Aktion senden](findings-custom-action.md)

# Verwaltete Einblicke in Security Hub CSPM
<a name="securityhub-managed-insights"></a>

AWS Security Hub CSPM bietet mehrere verwaltete Einblicke.

Sie können von Security Hub CSPM verwaltete Einblicke nicht bearbeiten oder löschen. Sie können die [Insight-Ergebnisse und -Resultate einsehen und Maßnahmen ergreifen](securityhub-insights-view-take-action.md). Sie können auch [einen verwalteten Insight als Grundlage für einen neuen benutzerdefinierten Insight verwenden](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed).

Wie bei allen Insights gibt ein verwalteter Insight nur Ergebnisse zurück, wenn Sie Produktintegrationen oder Sicherheitsstandards aktiviert haben, die zu passenden Ergebnissen führen können.

Bei Erkenntnissen, die nach Ressourcen-IDs gruppiert sind, enthalten die Ergebnisse die Identifikatoren aller Ressourcen in den entsprechenden Ergebnissen. Dazu gehören Ressourcen, deren Typ sich von dem in den Filterkriterien angegebenen Ressourcentyp unterscheidet. Insight 2 in der folgenden Liste identifiziert beispielsweise Ergebnisse, die mit Amazon S3 S3-Buckets verknüpft sind. Wenn ein übereinstimmendes Ergebnis sowohl eine S3-Bucket-Ressource als auch eine IAM-Zugriffsschlüsselressource enthält, umfassen die Insight-Ergebnisse beide Ressourcen.

Security Hub CSPM bietet derzeit die folgenden verwalteten Einblicke:

**1. AWS Ressourcen mit den meisten Ergebnissen**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/1`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**2. S3-Buckets mit öffentlichen Lese- oder Schreibberechtigungen**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/10`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Typ beginnt mit `Effects/Data Exposure`
+ Ressourcentyp ist `AwsS3Bucket`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**3. AMIs die die meisten Erkenntnisse generieren**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/3`  
**Gruppiert nach:** EC2 Instanz-Image-ID  
**Filter finden:**  
+ Ressourcentyp ist `AwsEc2Instance`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**4. EC2 Fälle, die an bekannten Taktiken, Techniken und Verfahren beteiligt sind (TTPs)**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/14`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Typ beginnt mit `TTPs`
+ Ressourcentyp ist `AwsEc2Instance`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**5. AWS Principals mit verdächtiger Zugriffsschlüsselaktivität**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/9`  
**Gruppiert nach: Prinzipalname** des IAM-Zugriffsschlüssels  
**Filter finden:**  
+ Ressourcentyp ist `AwsIamAccessKey`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**6. AWS Ressourcen und Instanzen, die die Sicherheitsstandards/Best Practices nicht erfüllen**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/6`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Typ ist `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**7. AWS Ressourcen im Zusammenhang mit potenzieller Datenexfiltration**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/7`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Der Typ beginnt mit Effects/Data Exfiltration/
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**8. AWS Ressourcen, die mit unberechtigtem Ressourcenverbrauch verbunden sind**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/8`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Typ beginnt mit `Effects/Resource Consumption`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**9. S3-Buckets, die Sicherheitsstandards oder Best Practices nicht erfüllen**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/11`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Ressourcentyp ist `AwsS3Bucket`
+ Typ ist `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**10. S3-Buckets mit sensiblen Daten**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/12`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Ressourcentyp ist `AwsS3Bucket`
+ Typ beginnt mit `Sensitive Data Identifications/`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**11. Anmeldeinformationen, die möglicherweise in falsche Hände geraten sind**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/13`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Typ beginnt mit `Sensitive Data Identifications/Passwords/`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**12. EC2 Instanzen, bei denen Sicherheitspatches für wichtige Sicherheitslücken fehlen**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/16`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Typ beginnt mit `Software and Configuration Checks/Vulnerabilities/CVE`
+ Ressourcentyp ist `AwsEc2Instance`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**13. EC2 Fälle mit allgemein ungewöhnlichem Verhalten**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/17`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Typ beginnt mit `Unusual Behaviors`
+ Ressourcentyp ist `AwsEc2Instance`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**14. EC2 Instanzen, deren Ports über das Internet zugänglich sind**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/18`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Typ beginnt mit `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ Ressourcentyp ist `AwsEc2Instance`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**15. EC2 Instanzen, die die Sicherheitsstandards/Best Practices nicht erfüllen**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/19`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Typ beginnt mit einer der folgenden Möglichkeiten:
  + `Software and Configuration Checks/Industry and Regulatory Standards/`
  + `Software and Configuration Checks/AWS Security Best Practices`
+ Ressourcentyp ist `AwsEc2Instance`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**16. EC2 Instanzen, die für das Internet offen sind**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/21`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Typ beginnt mit `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ Ressourcentyp ist `AwsEc2Instance`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**17. EC2 Fälle im Zusammenhang mit der Aufklärung von Gegnern**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/22`  
**Gruppiert nach: Ressourcen-ID**  
**Filter finden:**  
+ Der Typ beginnt mit TTPs /Discovery/Recon
+ Ressourcentyp ist `AwsEc2Instance`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**18. AWS Ressourcen, die mit Malware in Verbindung stehen**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/23`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Typ beginnt mit einer der folgenden Möglichkeiten:
  + `Effects/Data Exfiltration/Trojan`
  + `TTPs/Initial Access/Trojan`
  + `TTPs/Command and Control/Backdoor`
  + `TTPs/Command and Control/Trojan`
  + `Software and Configuration Checks/Backdoor`
  + `Unusual Behaviors/VM/Backdoor`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**19. AWS Ressourcen im Zusammenhang mit Kryptowährungsproblemen**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/24`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Typ beginnt mit einer der folgenden Möglichkeiten:
  + `Effects/Resource Consumption/Cryptocurrency`
  + `TTPs/Command and Control/CryptoCurrency`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**20. AWS Ressourcen mit unautorisierten Zugriffsversuchen**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/25`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Typ beginnt mit einer der folgenden Möglichkeiten:
  + `TTPs/Command and Control/UnauthorizedAccess`
  + `TTPs/Initial Access/UnauthorizedAccess`
  + `Effects/Data Exfiltration/UnauthorizedAccess`
  + `Unusual Behaviors/User/UnauthorizedAccess`
  + `Effects/Resource Consumption/UnauthorizedAccess`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**21. Bedrohungsinformationsindikatoren mit den meisten Treffern in der letzten Woche**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/26`  
**Filter finden:**  
+ Erstellt innerhalb der letzten 7 Tage

**22. Top-Konten nach Anzahl der Ergebnisse**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/27`  
**Gruppiert nach:** AWS-Konto ID  
**Filter finden:**  
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**23. Top-Produkte nach Anzahl der Ergebnisse**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/28`  
**Gruppiert nach:** Produktname  
**Filter finden:**  
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**24. Schweregrad nach Anzahl der Ergebnisse**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/29`  
**Gruppiert nach:** Bezeichnung Schweregrad  
**Filter finden:**  
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**25. Top S3-Buckets nach Anzahl der Ergebnisse**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/30`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Ressourcentyp ist `AwsS3Bucket`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**26. Häufigste EC2 Fälle nach Anzahl der Ergebnisse**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/31`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Ressourcentyp ist `AwsEc2Instance`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**27. AMIs Nach Anzahl der Ergebnisse am höchsten**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/32`  
**Gruppiert nach:** Image-ID der EC2 Instanz  
**Filter finden:**  
+ Ressourcentyp ist `AwsEc2Instance`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**28. Top-IAM-Benutzer nach Anzahl der Ergebnisse**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/33`  
**Gruppiert nach:** IAM-Zugriffsschlüssel-ID  
**Filter finden:**  
+ Ressourcentyp ist `AwsIamAccessKey`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**29. Top-Ressourcen nach Anzahl fehlgeschlagener CIS-Prüfungen**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/34`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Generator-ID beginnt mit `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule`
+ Aktualisiert am letzten Tag
+ Compliance-Status ist `FAILED`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**30. Top-Integrationen nach Anzahl der Ergebnisse**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/35`  
**Gruppiert nach:** Produkt ARN  
**Filter finden:**  
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**31. Ressourcen mit den am meisten fehlgeschlagenen Sicherheitsprüfungen**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/36`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ Aktualisiert am letzten Tag
+ Compliance-Status ist `FAILED`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**32. IAM-Benutzer mit verdächtigen Aktivitäten**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/37`  
**Gruppiert nach: IAM-Benutzer**  
**Filter finden:**  
+ Ressourcentyp ist `AwsIamUser`
+ Datensatzstatus ist `ACTIVE`
+ Workflow-Status ist `NEW` oder `NOTIFIED`

**33. Ressourcen mit den meisten AWS Health Ergebnissen**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/38`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ `ProductName`ist gleich `Health`

**34. Ressourcen mit den meisten AWS Config Ergebnissen**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/39`  
**Gruppiert nach:** Ressourcen-ID  
**Filter finden:**  
+ `ProductName`ist gleich `Config`

**35. Bewerbungen mit den meisten Ergebnissen**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/40`  
**Gruppiert nach:** ResourceApplicationArn  
**Filter finden:**  
+ `RecordState`ist gleich `ACTIVE`
+ `Workflow.Status`ist gleich oder `NEW` `NOTIFIED`

# Grundlegendes zu benutzerdefinierten Erkenntnissen in Security Hub CSPM
<a name="securityhub-custom-insights"></a>

Zusätzlich zu den von AWS Security Hub CSPM verwalteten Erkenntnissen können Sie benutzerdefinierte Einblicke in Security Hub CSPM erstellen, um Probleme zu verfolgen, die für Ihre Umgebung spezifisch sind. Mithilfe von benutzerdefinierten Erkenntnissen können Sie eine kuratierte Teilmenge von Problemen verfolgen.

Hier sind einige Beispiele für benutzerdefinierte Einblicke, deren Einrichtung nützlich sein kann:
+ Wenn Sie ein Administratorkonto besitzen, können Sie einen benutzerdefinierten Einblick einrichten, um kritische und schwerwiegende Ergebnisse nachzuverfolgen, die sich auf Mitgliedskonten auswirken.
+ Wenn Sie sich auf einen bestimmten [integrierten AWS Service](securityhub-internal-providers.md) verlassen, können Sie einen benutzerdefinierten Einblick einrichten, um kritische und schwerwiegende Ergebnisse dieses Dienstes nachzuverfolgen.
+ Wenn Sie sich auf die [Integration eines Drittanbieters](securityhub-partner-providers.md) verlassen, können Sie einen benutzerdefinierten Einblick einrichten, um kritische und schwerwiegende Ergebnisse dieses integrierten Produkts nachzuverfolgen.

Sie können völlig neue benutzerdefinierte Insights erstellen oder von einem vorhandenen benutzerdefinierten oder verwalteten Insight ausgehen.

Jeder Einblick kann mit den folgenden Optionen konfiguriert werden:
+ **Gruppierungsattribut** — Das Gruppierungsattribut bestimmt, welche Elemente in der Insight-Ergebnisliste angezeigt werden. Wenn das Gruppierungsattribut beispielsweise **Produktname lautet**, zeigen die Insight-Ergebnisse die Anzahl der Ergebnisse an, die jedem Ergebnisanbieter zugeordnet sind.
+ **Optionale Filter** — Die Filter grenzen die passenden Ergebnisse für den Einblick ein.

  Ein Ergebnis ist nur dann in den Insight-Ergebnissen enthalten, wenn es allen bereitgestellten Filtern entspricht. Wenn die Filter beispielsweise „Produktname ist GuardDuty“ und „Ressourcentyp ist`AwsS3Bucket`“ lauten, müssen übereinstimmende Ergebnisse diesen beiden Kriterien entsprechen.

  Security Hub CSPM wendet jedoch eine boolesche OR-Logik auf Filter an, die dasselbe Attribut, aber unterschiedliche Werte verwenden. Wenn die Filter beispielsweise „Produktname ist“ und GuardDuty „Produktname ist Amazon Inspector“ lauten, stimmt ein Ergebnis überein, wenn es entweder von Amazon GuardDuty oder Amazon Inspector generiert wurde.

Wenn Sie die Ressourcen-ID oder den Ressourcentyp als Gruppierungsattribut verwenden, umfassen die Insight-Ergebnisse alle Ressourcen, die in den passenden Ergebnissen enthalten sind. Die Liste ist nicht auf Ressourcen beschränkt, die einem Ressourcentypfilter entsprechen. Ein Insight identifiziert beispielsweise Ergebnisse, die mit S3-Buckets verknüpft sind, und gruppiert diese Ergebnisse nach der Ressourcen-ID. Ein übereinstimmendes Ergebnis enthält sowohl eine S3-Bucket-Ressource als auch eine IAM-Zugriffsschlüsselressource. Die Insight-Ergebnisse umfassen beide Ressourcen.

Wenn Sie die [regionsübergreifende Aggregation](finding-aggregation.md) aktivieren und anschließend einen benutzerdefinierten Einblick erstellen, gilt der Einblick für den Abgleich von Ergebnissen in der Aggregationsregion und den verknüpften Regionen. Die Ausnahme ist, wenn Ihre Erkenntnisse einen Regionsfilter enthalten.

# Einen benutzerdefinierten Einblick erstellen
<a name="securityhub-custom-insight-create-api"></a>

In AWS Security Hub CSPM können benutzerdefinierte Erkenntnisse verwendet werden, um bestimmte Ergebnisse zu sammeln und Probleme zu verfolgen, die für Ihre Umgebung einzigartig sind. Hintergrundinformationen zu benutzerdefinierten Erkenntnissen finden Sie unter. [Grundlegendes zu benutzerdefinierten Erkenntnissen in Security Hub CSPM](securityhub-custom-insights.md)

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um einen benutzerdefinierten Einblick in Security Hub CSPM zu erstellen

------
#### [ Security Hub CSPM console ]

**Um einen benutzerdefinierten Einblick zu erstellen (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich ** Insights** aus.

1. Wählen Sie **Create Insight (Insight erstellen)** aus.

1. So wählen Sie das Gruppierungsattribut für den Insight aus:

   1. Wählen Sie das Suchfeld, um die Filteroptionen anzuzeigen.

   1. Wählen Sie **Group by (Gruppieren nach)**.

   1. Wählen Sie das Attribut aus, das verwendet werden soll, um die Ergebnisse zu gruppieren, die mit dieser Erkenntnis verknüpft sind.

   1. Wählen Sie **Anwenden** aus.

1. Wählen Sie optional weitere Filter aus, die für diesen Einblick verwendet werden sollen. Definieren Sie für jeden Filter die Filterkriterien und wählen Sie dann **Anwenden** aus.

1. Wählen Sie **Create Insight (Insight erstellen)** aus.

1. Geben Sie einen **Insight-Namen** ein und wählen Sie dann **Create Insight** aus.

------
#### [ Security Hub CSPM API ]

**Um einen benutzerdefinierten Einblick (API) zu erstellen**

1. Verwenden Sie den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html)Betrieb der Security Hub CSPM-API, um einen benutzerdefinierten Einblick zu erstellen. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html)Befehl aus.

1. Füllen Sie den `Name` Parameter mit einem Namen für Ihren benutzerdefinierten Einblick.

1. Füllen Sie den `Filters` Parameter aus, um anzugeben, welche Ergebnisse in den Einblick aufgenommen werden sollen.

1. Füllen Sie den `GroupByAttribute` Parameter aus, um anzugeben, welches Attribut verwendet wird, um die Ergebnisse zu gruppieren, die in den Erkenntnissen enthalten sind.

1. Füllen Sie optional den `SortCriteria` Parameter aus, um die Ergebnisse nach einem bestimmten Feld zu sortieren.

Im folgenden Beispiel wird ein benutzerdefinierter Einblick erstellt, der wichtige Ergebnisse mit dem `AwsIamRole` Ressourcentyp enthält. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```

------
#### [ PowerShell ]

**Um einen benutzerdefinierten Einblick zu erstellen (PowerShell)**

1. Verwenden Sie das cmdlet `New-SHUBInsight`.

1. Füllen Sie den `Name` Parameter mit einem Namen für Ihren benutzerdefinierten Einblick aus.

1. Füllen Sie den `Filter` Parameter aus, um anzugeben, welche Ergebnisse in den Einblick aufgenommen werden sollen.

1. Füllen Sie den `GroupByAttribute` Parameter aus, um anzugeben, welches Attribut verwendet wird, um die Ergebnisse zu gruppieren, die in den Erkenntnissen enthalten sind.

Wenn Sie die [regionsübergreifende Aggregation](finding-aggregation.md) aktiviert haben und dieses Cmdlet aus der Aggregationsregion verwenden, bezieht sich die Information auf übereinstimmende Ergebnisse aus der Aggregation und verknüpften Regionen.

**Beispiel**

```
$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```

------

## Erstellen eines benutzerdefinierten Insights aus einem verwalteten Insight (nur Konsole)
<a name="securityhub-custom-insight-frrom-managed"></a>

Sie können keine Änderungen an einem verwalteten Insight speichern oder löschen. Sie können jedoch einen verwalteten Einblick als Grundlage für einen benutzerdefinierten Einblick verwenden. Diese Option ist nur auf der Security Hub CSPM-Konsole verfügbar.

**Um einen benutzerdefinierten Insight aus einem verwalteten Insight (Konsole) zu erstellen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich ** Insights** aus.

1. Wählen Sie die verwalteten Insights aus, von denen aus Sie arbeiten möchten.

1. Bearbeiten Sie die Insight-Konfiguration nach Bedarf.
   + So ändern Sie das Attribut, das zum Gruppieren von Ergebnissen in dem Insight verwendet wird:

     1. Um die bestehende Gruppierung zu entfernen, wählen Sie das **X** neben der Einstellung **Gruppieren** aus.

     1. Wählen Sie das Suchfeld.

     1. Wählen Sie das Attribut aus, das für die Gruppierung verwendet werden soll.

     1. Wählen Sie **Anwenden** aus.
   + Um einen Filter aus dem Insight zu entfernen, wählen Sie das eingekreiste **X** neben dem Filter aus.
   + So fügen Sie dem Insight einen Filter hinzu:

     1. Wählen Sie das Suchfeld.

     1. Wählen Sie das Attribut und den Wert aus, die als Filter verwendet werden sollen.

     1. Wählen Sie **Anwenden** aus.

1. Wenn Ihre Aktualisierungen abgeschlossen sind, wählen Sie **Create insight (Insight erstellen)**.

1. Wenn Sie dazu aufgefordert werden, geben Sie einen **Insight-Namen** ein und wählen Sie dann Insight **erstellen** aus.

# Einen benutzerdefinierten Einblick bearbeiten
<a name="securityhub-custom-insight-modify-console"></a>

Sie können einen vorhandenen benutzerdefinierten Einblick bearbeiten, um den Gruppierungswert und die Filter zu ändern. Nachdem Sie die Änderungen vorgenommen haben, können Sie die Aktualisierungen an den ursprünglichen Insight speichern oder die aktualisierte Version als neuen Insight speichern.

In AWS Security Hub CSPM können benutzerdefinierte Erkenntnisse verwendet werden, um bestimmte Ergebnisse zu sammeln und Probleme zu verfolgen, die für Ihre Umgebung einzigartig sind. Hintergrundinformationen zu benutzerdefinierten Erkenntnissen finden Sie unter. [Grundlegendes zu benutzerdefinierten Erkenntnissen in Security Hub CSPM](securityhub-custom-insights.md)

Um einen benutzerdefinierten Einblick zu bearbeiten, wählen Sie Ihre bevorzugte Methode und folgen Sie den Anweisungen.

------
#### [ Security Hub CSPM console ]

**Um einen benutzerdefinierten Einblick zu bearbeiten (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich ** Insights** aus.

1. Wählen Sie den zu ändernden benutzerdefinierten Insight aus.

1. Bearbeiten Sie die Insight-Konfiguration nach Bedarf.
   + So ändern Sie das Attribut, das zum Gruppieren von Ergebnissen in dem Insight verwendet wird:

     1. Um die bestehende Gruppierung zu entfernen, wählen Sie das **X** neben der Einstellung **Gruppieren** aus.

     1. Wählen Sie das Suchfeld.

     1. Wählen Sie das Attribut aus, das für die Gruppierung verwendet werden soll.

     1. Wählen Sie **Anwenden** aus.
   + Um einen Filter aus dem Insight zu entfernen, wählen Sie das eingekreiste **X** neben dem Filter aus.
   + So fügen Sie dem Insight einen Filter hinzu:

     1. Wählen Sie das Suchfeld.

     1. Wählen Sie das Attribut und den Wert aus, die als Filter verwendet werden sollen.

     1. Wählen Sie **Anwenden** aus.

1. Wenn Sie die Aktualisierungen abgeschlossen haben, wählen Sie **Save insight (Insight speichern)**.

1. Führen Sie eine der folgenden Aktionen aus, wenn Sie dazu aufgefordert werden:
   + Um den vorhandenen Einblick an Ihre Änderungen anzupassen, wählen Sie **Aktualisieren *<Insight\$1Name>*** und dann Einblick **speichern** aus.
   + Um einen neuen Insight mit den Updates zu erstellen, wählen Sie **Save new insight (Neuen Insight speichern**. Geben Sie einen **Insight name (Insight-Namen)** an und wählen Sie dann **Save insight (Insight speichern)** aus.

------
#### [ Security Hub CSPM API ]

**Um einen benutzerdefinierten Einblick (API) zu bearbeiten**

1. Verwenden Sie den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html)Betrieb der Security Hub CSPM-API. Wenn Sie den Befehl verwenden, führen Sie den AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html)Befehl aus.

1. Um den benutzerdefinierten Insight zu identifizieren, den Sie aktualisieren möchten, geben Sie den Amazon-Ressourcennamen (ARN) des Insights an. Verwenden Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)Operation oder den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html)Befehl, um den ARN eines benutzerdefinierten Einblicks abzurufen.

1. Aktualisieren Sie die `GroupByAttribute` Parameter `Name``Filters`, und nach Bedarf.

Im folgenden Beispiel wird der angegebene Insight aktualisiert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```

------
#### [ PowerShell ]

**Um einen benutzerdefinierten Einblick zu bearbeiten (PowerShell)**

1. Verwenden Sie das cmdlet `Update-SHUBInsight`.

1. Um den benutzerdefinierten Insight zu identifizieren, geben Sie den Amazon-Ressourcennamen (ARN) des Insights an. Verwenden Sie das `Get-SHUBInsight` Cmdlet, um den ARN eines benutzerdefinierten Insights abzurufen.

1. Aktualisieren Sie die `GroupByAttribute` Parameter `Name``Filter`, und nach Bedarf.

**Beispiel**

```
$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```

------

# Löschen eines benutzerdefinierten Insights
<a name="securityhub-custom-insight-delete-console"></a>

In AWS Security Hub CSPM können benutzerdefinierte Erkenntnisse verwendet werden, um bestimmte Ergebnisse zu sammeln und Probleme zu verfolgen, die für Ihre Umgebung einzigartig sind. Hintergrundinformationen zu benutzerdefinierten Erkenntnissen finden Sie unter. [Grundlegendes zu benutzerdefinierten Erkenntnissen in Security Hub CSPM](securityhub-custom-insights.md)

Um einen benutzerdefinierten Einblick zu löschen, wählen Sie Ihre bevorzugte Methode und folgen Sie den Anweisungen. Sie können einen verwalteten Einblick nicht löschen.

------
#### [ Security Hub CSPM console ]

**Um einen benutzerdefinierten Einblick zu löschen (Konsole)**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich ** Insights** aus.

1. Suchen Sie den benutzerdefinierten Insight, der gelöscht werden soll.

1. Um diesen Einblick zu erhalten, wählen Sie das Symbol für weitere Optionen (die drei Punkte in der oberen rechten Ecke der Karte).

1. Wählen Sie **Löschen** aus.

------
#### [ Security Hub CSPM API ]

**Um einen benutzerdefinierten Einblick (API) zu löschen**

1. Verwenden Sie den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html)Betrieb der Security Hub CSPM-API. Wenn Sie den Befehl verwenden, führen Sie den AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html)Befehl aus.

1. Geben Sie den ARN des Insights an, um den benutzerdefinierten Insight zu identifizieren, der gelöscht werden soll. Verwenden Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)Operation oder den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html)Befehl, um den ARN eines benutzerdefinierten Einblicks abzurufen.

Im folgenden Beispiel wird der angegebene Insight gelöscht. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------
#### [ PowerShell ]

**Um einen benutzerdefinierten Einblick zu löschen () PowerShell**

1. Verwenden Sie das cmdlet `Remove-SHUBInsight`.

1. Um den benutzerdefinierten Insight zu identifizieren, geben Sie den ARN des Insights an. Verwenden Sie das `Get-SHUBInsight` Cmdlet, um den ARN eines benutzerdefinierten Insights abzurufen.

**Beispiel**

```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Ergebnisse in Security Hub CSPM automatisch ändern und darauf reagieren
<a name="automations"></a>

AWS Security Hub CSPM verfügt über Funktionen, die Ergebnisse auf der Grundlage Ihrer Spezifikationen automatisch ändern und entsprechende Maßnahmen ergreifen.

Security Hub CSPM unterstützt derzeit zwei Arten von Automatisierungen:
+ **Automatisierungsregeln** — Automatische Aktualisierung und Unterdrückung von Ergebnissen nahezu in Echtzeit auf der Grundlage von von Ihnen definierter Kriterien.
+ **Automatisierte Reaktion und Problembehebung** — Erstellen Sie benutzerdefinierte EventBridge Amazon-Regeln, die automatische Maßnahmen definieren, die auf der Grundlage bestimmter Ergebnisse und Erkenntnisse ergriffen werden sollen.

Automatisierungsregeln sind hilfreich, wenn Sie Suchfelder im AWS Security Finding Format (ASFF) automatisch aktualisieren möchten. Sie können beispielsweise eine Automatisierungsregel verwenden, um den Schweregrad oder den Workflow-Status von Ergebnissen aus bestimmten Drittanbieter-Integrationen zu aktualisieren. Durch die Verwendung der Automatisierungsregel entfällt die Notwendigkeit, den Schweregrad oder den Workflow-Status jedes Ergebnisses aus diesem Drittanbieterprodukt manuell zu aktualisieren.

EventBridge Regeln sind hilfreich, wenn Sie außerhalb von Security Hub CSPM Maßnahmen in Bezug auf bestimmte Ergebnisse ergreifen oder bestimmte Ergebnisse zur Behebung oder weiteren Untersuchung an Tools von Drittanbietern senden möchten. Die Regeln können verwendet werden, um unterstützte Aktionen auszulösen, z. B. das Aufrufen einer AWS Lambda Funktion oder die Benachrichtigung eines Amazon Simple Notification Service (Amazon SNS) -Themas über ein bestimmtes Ergebnis.

Automatisierungsregeln werden wirksam, bevor EventBridge Regeln angewendet werden. Das heißt, Automatisierungsregeln werden ausgelöst und aktualisieren ein Ergebnis, bevor das Ergebnis EventBridge empfangen wird. EventBridge Die Regeln gelten dann für den aktualisierten Befund.

Bei der Einrichtung von Automatisierungen für Sicherheitskontrollen empfehlen wir, nach der Kontroll-ID und nicht nach Titel oder Beschreibung zu filtern. Während Security Hub CSPM gelegentlich Kontrolltitel und Beschreibungen aktualisiert, IDs bleibt die Steuerung dieselbe.

**Topics**
+ [

# Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM
](automation-rules.md)
+ [

# Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen
](securityhub-cloudwatch-events.md)

# Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM
<a name="automation-rules"></a>

Sie können Automatisierungsregeln verwenden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Bei der Erfassung der Ergebnisse kann Security Hub CSPM eine Vielzahl von Regelaktionen anwenden, z. B. das Unterdrücken von Ergebnissen, das Ändern ihres Schweregrads und das Hinzufügen von Notizen. Solche Regelaktionen ändern Ergebnisse, die Ihren angegebenen Kriterien entsprechen.

Zu den Anwendungsfällen für Automatisierungsregeln gehören unter anderem die folgenden:
+ Erhöhung des Schweregrads eines Ergebnisses auf den Wert, `CRITICAL` wenn sich die Ressourcen-ID des Ergebnisses auf eine geschäftskritische Ressource bezieht.
+ Erhöhung des Schweregrads eines Ergebnisses von bis `HIGH` zu, `CRITICAL` wenn das Ergebnis Ressourcen in bestimmten Produktionskonten betrifft.
+ Zuweisen bestimmter Ergebnisse, deren Schweregrad einem `INFORMATIONAL` `SUPPRESSED` Workflow-Status entspricht.

Sie können Automatisierungsregeln nur über ein Security Hub CSPM-Administratorkonto erstellen und verwalten.

Die Regeln gelten sowohl für neue als auch für aktualisierte Ergebnisse. Sie können eine benutzerdefinierte Regel von Grund auf neu erstellen oder eine von Security Hub CSPM bereitgestellte Regelvorlage verwenden. Sie können auch mit einer Vorlage beginnen und diese nach Bedarf ändern.

## Definition von Regelkriterien und Regelaktionen
<a name="automation-rules-how-it-works"></a>

*Von einem Security Hub CSPM-Administratorkonto aus können Sie eine Automatisierungsregel erstellen, indem Sie ein oder mehrere *Regelkriterien* und eine oder mehrere Regelaktionen definieren.* Wenn ein Ergebnis den definierten Kriterien entspricht, wendet Security Hub CSPM die Regelaktionen darauf an. Weitere Informationen zu verfügbaren Kriterien und Aktionen finden Sie unter. [Verfügbare Regelkriterien und Regelaktionen](#automation-rules-criteria-actions)

Security Hub CSPM unterstützt derzeit maximal 100 Automatisierungsregeln für jedes Administratorkonto.

Das Security Hub CSPM-Administratorkonto kann auch Automatisierungsregeln bearbeiten, anzeigen und löschen. Eine Regel gilt für den Abgleich von Ergebnissen im Administratorkonto und all seinen Mitgliedskonten. Durch die Angabe des Mitgliedskontos IDs als Regelkriterium können Security Hub CSPM-Administratoren auch Automatisierungsregeln verwenden, um Ergebnisse in bestimmten Mitgliedskonten zu aktualisieren oder zu unterdrücken.

Eine Automatisierungsregel gilt nur in dem Land, AWS-Region in dem sie erstellt wurde. Um eine Regel in mehreren Regionen anzuwenden, muss der Administrator die Regel in jeder Region erstellen. Dies kann über die Security Hub CSPM-Konsole, die Security Hub CSPM-API oder erfolgen. [AWS CloudFormation](creating-resources-with-cloudformation.md) [Sie können auch ein Bereitstellungsskript für mehrere Regionen verwenden.](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules)

## Verfügbare Regelkriterien und Regelaktionen
<a name="automation-rules-criteria-actions"></a>

Die folgenden ASFF-Felder ( AWS Security Finding Format) werden derzeit als Kriterien für Automatisierungsregeln unterstützt:


| Regelkriterium | Filteroperatoren | Feldtyp | 
| --- | --- | --- | 
| AwsAccountId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| AwsAccountName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| CompanyName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| ComplianceAssociatedStandardsId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| ComplianceSecurityControlId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| ComplianceStatus  | Is, Is Not  | Wählen Sie: [FAILED,NOT\$1AVAILABLE,PASSED,WARNING]  | 
| Confidence  | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)  | Zahl  | 
| CreatedAt  | Start, End, DateRange  | Datum (formatiert als 2021-12-01T 21:47:39.269 Z)  | 
| Criticality  | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)  | Zahl  | 
| Description  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| FirstObservedAt  | Start, End, DateRange  | Datum (formatiert als 2021-12-01T 21:47:39.269 Z)  | 
| GeneratorId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| Id  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| LastObservedAt  | Start, End, DateRange  | Datum (formatiert als 2021-12-01T 21:47:39.269 Z)  | 
| NoteText  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| NoteUpdatedAt  | Start, End, DateRange  | Datum (formatiert als 2021-12-01T 21:47:39.269 Z)  | 
| NoteUpdatedBy  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| ProductArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| ProductName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| RecordState  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| RelatedFindingsId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| RelatedFindingsProductArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| ResourceApplicationArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| ResourceApplicationName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| ResourceDetailsOther  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Zuordnung  | 
| ResourceId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| ResourcePartition  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| ResourceRegion  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| ResourceTags  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Zuordnung  | 
| ResourceType  | Is, Is Not  | Wählen Sie ([siehe](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) Von ASFF unterstützte Ressourcen)  | 
| SeverityLabel  | Is, Is Not  | Wählen Sie: [CRITICAL,HIGH,, MEDIUMLOW,INFORMATIONAL]  | 
| SourceUrl  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| Title  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| Type  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| UpdatedAt  | Start, End, DateRange  | Datum (formatiert als 2021-12-01T 21:47:39.269 Z)  | 
| UserDefinedFields  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Zuordnung  | 
| VerificationState  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | Zeichenfolge  | 
| WorkflowStatus  | Is, Is Not  | Wählen Sie NEW NOTIFIEDRESOLVED: [,,,SUPPRESSED]  | 

Bei Kriterien, die als Zeichenkettenfelder gekennzeichnet sind, wirkt sich die Verwendung verschiedener Filteroperatoren für dasselbe Feld auf die Bewertungslogik aus. Weitere Informationen finden Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)in der *AWS Security Hub CSPM API-Referenz*.

Jedes Kriterium unterstützt eine maximale Anzahl von Werten, anhand derer übereinstimmende Ergebnisse gefiltert werden können. Die Grenzwerte für die einzelnen Kriterien finden Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)in der *AWS Security Hub CSPM API-Referenz*.

Die folgenden ASFF-Felder werden derzeit als Aktionen für Automatisierungsregeln unterstützt:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Weitere Informationen zu bestimmten ASFF-Feldern finden Sie unter Syntax des [AWS Security Finding Format (ASFF](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)).

**Tipp**  
 Wenn Sie möchten, dass Security Hub CSPM keine Ergebnisse für ein bestimmtes Steuerelement generiert, empfehlen wir, das Steuerelement zu deaktivieren, anstatt eine Automatisierungsregel zu verwenden. Wenn Sie eine Kontrolle deaktivieren, beendet Security Hub CSPM die Durchführung von Sicherheitsüberprüfungen und generiert keine Ergebnisse mehr dafür, sodass Ihnen für diese Kontrolle keine Gebühren entstehen. Wir empfehlen die Verwendung von Automatisierungsregeln, um die Werte bestimmter ASFF-Felder für Ergebnisse zu ändern, die definierten Kriterien entsprechen. Weitere Informationen zum Deaktivieren von Steuerelementen finden Sie unter. [Steuerelemente in Security Hub CSPM deaktivieren](disable-controls-overview.md)

## Ergebnisse, die durch Automatisierungsregeln bewertet werden
<a name="automation-rules-findings"></a>

Eine Automatisierungsregel wertet neue und aktualisierte Ergebnisse aus, die Security Hub CSPM im Rahmen des [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)Vorgangs generiert oder aufnimmt, *nachdem* Sie die Regel erstellt haben. Security Hub CSPM-Updates kontrollieren die Ergebnisse alle 12 bis 24 Stunden oder wenn sich der Status der zugehörigen Ressource ändert. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

Automatisierungsregeln bewerten die ursprünglichen Ergebnisse, die vom Anbieter bereitgestellt wurden. Anbieter können mithilfe der Security Hub CSPM-API neue Erkenntnisse bereitstellen und bestehende Ergebnisse aktualisieren. `BatchImportFindings` Wenn die folgenden Felder im ursprünglichen Ergebnis nicht vorhanden sind, füllt Security Hub CSPM die Felder automatisch aus und verwendet dann die ausgefüllten Werte bei der Auswertung durch die Automatisierungsregel:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`

Nachdem Sie eine oder mehrere Automatisierungsregeln erstellt haben, werden die Regeln nicht ausgelöst, wenn Sie Suchfelder mithilfe des Vorgangs aktualisieren. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) Wenn Sie eine Automatisierungsregel erstellen und eine `BatchUpdateFindings` Aktualisierung vornehmen, die sich beide auf dasselbe Ergebnisfeld auswirken, legt die letzte Aktualisierung den Wert für dieses Feld fest. Nehmen wir das folgende Beispiel:

1. Sie verwenden die `BatchUpdateFindings` Operation, um den Wert für das `Workflow.Status` Feld eines Ergebnisses von bis `NEW` zu zu ändern`NOTIFIED`.

1. Wenn Sie aufrufen`GetFindings`, hat das `Workflow.Status` Feld jetzt den Wert`NOTIFIED`.

1. Sie erstellen eine Automatisierungsregel, die das `Workflow.Status` Feld des Ergebnisses von `NEW` zu ändert`SUPPRESSED`. (Denken Sie daran, dass Regeln Aktualisierungen ignorieren, die mithilfe des `BatchUpdateFindings` Vorgangs vorgenommen wurden.)

1. Der Suchprovider verwendet den `BatchImportFindings` Vorgang, um den Befund zu aktualisieren, und ändert den Wert für das `Workflow.Status` Feld des Ergebnisses in`NEW`.

1. Wenn Sie aufrufen`GetFindings`, hat das `Workflow.Status` Feld jetzt den Wert`SUPPRESSED`. Dies ist der Fall, weil die Automatisierungsregel angewendet wurde und die Regel die letzte Aktion war, die aufgrund des Ergebnisses ausgeführt wurde.

Wenn Sie eine Regel auf der Security Hub CSPM-Konsole erstellen oder bearbeiten, zeigt die Konsole eine Beta-Version der Ergebnisse an, die den Regelkriterien entsprechen. Während Automatisierungsregeln die ursprünglichen Ergebnisse auswerten, die vom Finding-Anbieter gesendet wurden, gibt die Beta-Version der Konsole die Ergebnisse in ihrem endgültigen Zustand wieder, so wie sie als Reaktion auf den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)Vorgang angezeigt würden (d. h. nachdem Regelaktionen oder andere Updates auf das Ergebnis angewendet wurden).

## Wie funktioniert die Reihenfolge der Regeln
<a name="rule-order"></a>

Beim Erstellen von Automatisierungsregeln weisen Sie jeder Regel eine Reihenfolge zu. Dies bestimmt die Reihenfolge, in der Security Hub CSPM Ihre Automatisierungsregeln anwendet, und ist wichtig, wenn sich mehrere Regeln auf dasselbe Such- oder Findungsfeld beziehen.

Wenn sich mehrere Regelaktionen auf dasselbe Befund- oder Findungsfeld beziehen, gilt die Regel mit dem höchsten numerischen Wert für die Reihenfolge der Regeln zuletzt und hat die endgültige Wirkung.

Wenn Sie eine Regel in der Security Hub CSPM-Konsole erstellen, weist Security Hub CSPM automatisch die Regelreihenfolge auf der Grundlage der Reihenfolge der Regelerstellung zu. Die zuletzt erstellte Regel hat den niedrigsten numerischen Wert für die Regelreihenfolge und gilt daher zuerst. Security Hub CSPM wendet nachfolgende Regeln in aufsteigender Reihenfolge an.

Wenn Sie eine Regel über die Security Hub CSPM API oder erstellen AWS CLI, wendet Security Hub CSPM zuerst die Regel mit dem niedrigsten numerischen Wert an. `RuleOrder` Anschließend werden die nachfolgenden Regeln in aufsteigender Reihenfolge angewendet. Wenn mehrere Ergebnisse identisch sind`RuleOrder`, wendet Security Hub CSPM zuerst eine Regel mit einem früheren Wert für das `UpdatedAt` Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).

Sie können die Reihenfolge der Regeln jederzeit ändern.

**Beispiel für die Reihenfolge der Regeln**:

**Regel A (Regelreihenfolge ist`1`)**:
+ Kriterien für Regel A
  + `ProductName` = `Security Hub CSPM`
  + `Resources.Type` ist `S3 Bucket`
  + `Compliance.Status` = `FAILED`
  + `RecordState` ist `NEW`
  + `Workflow.Status` = `ACTIVE`
+ Aktionen nach Regel A
  + Update `Confidence` auf `95`
  + Aktualisieren `Severity` auf `CRITICAL`

**Regel B (Reihenfolge der Regeln ist`2`)**:
+ Kriterien für Regel B
  + `AwsAccountId` = `123456789012`
+ Aktionen nach Regel B
  + Update `Severity` auf `INFORMATIONAL`

Aktionen nach Regel A gelten zuerst für Security Hub CSPM-Ergebnisse, die den Kriterien von Regel A entsprechen. Als Nächstes gelten die Aktionen nach Regel B für Security Hub CSPM-Ergebnisse mit der angegebenen Konto-ID. Da Regel B in diesem Beispiel zuletzt gilt, lautet der Endwert für Ergebnisse aus `Severity` der angegebenen Konto-ID. `INFORMATIONAL` Basierend auf der Regel A-Aktion ist der Endwert von `Confidence` in übereinstimmenden Ergebnissen`95`.

# Automatisierungsregeln erstellen
<a name="create-automation-rules"></a>

Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Sie können eine benutzerdefinierte Automatisierungsregel von Grund auf neu erstellen oder auf der Security Hub CSPM-Konsole eine vorab ausgefüllte Regelvorlage verwenden. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)

Sie können jeweils nur eine Automatisierungsregel erstellen. Um mehrere Automatisierungsregeln zu erstellen, folgen Sie den Konsolenprozeduren mehrmals oder rufen Sie die API oder den Befehl mehrmals mit den gewünschten Parametern auf.

Sie müssen in jeder Region und jedem Konto, in dem die Regel auf Ergebnisse angewendet werden soll, eine Automatisierungsregel erstellen.

Wenn Sie eine Automatisierungsregel in der Security Hub CSPM-Konsole erstellen, zeigt Ihnen Security Hub CSPM eine Betaversion der Ergebnisse, für die Ihre Regel gilt. Die Betaversion wird derzeit nicht unterstützt, wenn Ihre Regelkriterien einen CONTAINS- oder NOT\$1CONTAINS-Filter beinhalten. Sie können diese Filter für Zuordnungs- und Zeichenkettenfeldtypen auswählen.

**Wichtig**  
AWS empfiehlt, keine personenbezogenen, vertraulichen oder sensiblen Informationen in den Regelnamen, die Beschreibung oder andere Felder aufzunehmen.

## Eine benutzerdefinierte Automatisierungsregel erstellen
<a name="create-automation-rules-custom"></a>

Wählen Sie Ihre bevorzugte Methode und führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Automatisierungsregel zu erstellen.

------
#### [ Console ]

**So erstellen Sie eine benutzerdefinierte Automatisierungsregel (Konsole)**

1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich Automations aus.**

1. Wählen Sie **Regel erstellen** aus. Wählen Sie für **Regeltyp** die Option **Benutzerdefinierte Regel erstellen** aus.

1. Geben Sie im Abschnitt **Regel** einen eindeutigen Regelnamen und eine Beschreibung für Ihre Regel ein.

1. Verwenden Sie für **Kriterien** die Dropdownmenüs **Schlüssel**, **Operator** und **Wert**, um Ihre Regelkriterien anzugeben. Sie müssen mindestens ein Regelkriterium angeben.

   Wenn die von Ihnen ausgewählten Kriterien unterstützt werden, zeigt Ihnen die Konsole eine Betaversion der Ergebnisse, die Ihren Kriterien entsprechen.

1. Verwenden Sie für **automatisierte Aktionen** die Dropdownmenüs, um anzugeben, welche Ergebnisfelder aktualisiert werden sollen, wenn die Ergebnisse Ihren Regelkriterien entsprechen. Sie müssen mindestens eine Regelaktion angeben.

1. Wählen Sie **unter Regelstatus** aus, ob die Regel nach ihrer Erstellung **aktiviert** oder **deaktiviert** werden soll.

1. (Optional) Erweitern Sie den Abschnitt **Zusätzliche Einstellungen**. Wählen Sie **Nachfolgende Regeln für Ergebnisse ignorieren, die diesen Kriterien entsprechen**, wenn diese Regel die letzte Regel sein soll, die auf Ergebnisse angewendet wird, die den Regelkriterien entsprechen.

1. (Optional) Fügen Sie für **Tags Tags** als Schlüssel-Wert-Paare hinzu, damit Sie die Regel leichter identifizieren können.

1. Wählen Sie **Regel erstellen** aus.

------
#### [ API ]

**Um eine benutzerdefinierte Automatisierungsregel (API) zu erstellen**

1. Führen Sie die Ausführung [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)über das Security Hub CSPM-Administratorkonto aus. Diese API erstellt eine Regel mit einem bestimmten Amazon-Ressourcennamen (ARN).

1. Geben Sie einen Namen und eine Beschreibung für die Regel ein.

1. Legen Sie den `IsTerminal` Parameter auf fest, `true` wenn diese Regel die letzte Regel sein soll, die auf Ergebnisse angewendet wird, die den Regelkriterien entsprechen.

1. Geben Sie für den `RuleOrder` Parameter die Reihenfolge der Regel an. Security Hub CSPM wendet zuerst Regeln mit einem niedrigeren numerischen Wert für diesen Parameter an.

1. Geben Sie für den `RuleStatus` Parameter an, ob Security Hub CSPM die Regel aktivieren und nach der Erstellung auf Ergebnisse anwenden soll. Der Standardwert ist `ENABLED`, wenn kein Wert angegeben wird. Der Wert von `DISABLED` bedeutet, dass die Regel nach der Erstellung angehalten wird.

1. Geben Sie für den `Criteria` Parameter die Kriterien an, nach denen Security Hub CSPM Ihre Ergebnisse filtern soll. Die Regelaktion gilt für Ergebnisse, die den Kriterien entsprechen. Eine Liste der unterstützten Kriterien finden Sie unter[Verfügbare Regelkriterien und Regelaktionen](automation-rules.md#automation-rules-criteria-actions).

1. Geben Sie für den `Actions` Parameter die Aktionen an, die Security Hub CSPM ausführen soll, wenn eine Übereinstimmung zwischen einem Ergebnis und Ihren definierten Kriterien besteht. Eine Liste der unterstützten Aktionen finden Sie unter. [Verfügbare Regelkriterien und Regelaktionen](automation-rules.md#automation-rules-criteria-actions)

Mit dem folgenden AWS CLI Beispielbefehl wird eine Automatisierungsregel erstellt, die den Workflow-Status und die Notiz der übereinstimmenden Ergebnisse aktualisiert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub create-automation-rule \
--actions '[{
 "Type": "FINDING_FIELDS_UPDATE",
 "FindingFieldsUpdate": {
 "Severity": {
 "Label": "HIGH"
 },
 "Note": {
 "Text": "Known issue that is a risk. Updated by automation rules",
 "UpdatedBy": "sechub-automation"
 }
 }
 }]' \
--criteria '{
 "SeverityLabel": [{
 "Value": "INFORMATIONAL",
 "Comparison": "EQUALS"
 }]
 }' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```

------

## Eine Automatisierungsregel anhand einer Vorlage erstellen (nur Konsole)
<a name="create-automation-rules-template"></a>

Regelvorlagen spiegeln gängige Anwendungsfälle für Automatisierungsregeln wider. Derzeit unterstützt nur die Security Hub CSPM-Konsole Regelvorlagen. Gehen Sie wie folgt vor, um eine Automatisierungsregel aus einer Vorlage in der Konsole zu erstellen.

**Um eine Automatisierungsregel aus einer Vorlage (Konsole) zu erstellen**

1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich Automations aus.**

1. Wählen Sie **Regel erstellen** aus. Wählen Sie als **Regeltyp** die Option **Regel aus Vorlage erstellen aus**.

1. Wählen Sie im Dropdownmenü eine Regelvorlage aus.

1. (Optional) Falls für Ihren Anwendungsfall erforderlich, ändern Sie die Abschnitte **Regel**, **Kriterien** und **Automatisierte Aktion**. Sie müssen mindestens ein Regelkriterium und eine Regelaktion angeben.

   Wenn die von Ihnen ausgewählten Kriterien unterstützt werden, zeigt Ihnen die Konsole eine Betaversion der Ergebnisse, die Ihren Kriterien entsprechen.

1. Wählen Sie **unter Regelstatus** aus, ob die Regel nach ihrer Erstellung **aktiviert** oder **deaktiviert** werden soll.

1. (Optional) Erweitern Sie den Abschnitt **Zusätzliche Einstellungen**. Wählen Sie **Nachfolgende Regeln für Ergebnisse ignorieren, die diesen Kriterien entsprechen**, wenn diese Regel die letzte Regel sein soll, die auf Ergebnisse angewendet wird, die den Regelkriterien entsprechen.

1. (Optional) Fügen Sie für **Tags Tags** als Schlüssel-Wert-Paare hinzu, damit Sie die Regel leichter identifizieren können.

1. Wählen Sie **Regel erstellen** aus.

# Automatisierungsregeln anzeigen
<a name="view-automation-rules"></a>

Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Ihre vorhandenen Automatisierungsregeln und die Details jeder Regel einzusehen.

Einen Überblick darüber, wie Automatisierungsregeln Ihre Ergebnisse verändert haben, finden Sie unter[Überprüfung der Funddetails und des Verlaufs in Security Hub CSPM](securityhub-findings-viewing.md).

------
#### [ Console ]

**So zeigen Sie Automatisierungsregeln an (Konsole)**

1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich Automations aus.**

1. Wählen Sie einen Regelnamen. Wählen Sie alternativ eine Regel aus.

1. Wählen Sie **Aktionen** und **Ansicht** aus.

------
#### [ API ]

**Um Automatisierungsregeln (API) anzuzeigen**

1. Um die Automatisierungsregeln für Ihr Konto einzusehen, führen Sie es [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)vom Security Hub CSPM-Administratorkonto aus. Diese API gibt die Regel ARNs und andere Metadaten für Ihre Regeln zurück. Für diese API sind keine Eingabeparameter erforderlich, Sie können diese jedoch optional `NextToken` als Paginierungsparameter angeben, `MaxResults` um die Anzahl der Ergebnisse zu begrenzen. Der Anfangswert von `NextToken` sollte sein. `NULL`

1. Weitere Regeldetails, einschließlich der Kriterien und Aktionen für eine Regel, erhalten Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)über das Security Hub CSPM-Administratorkonto. Geben Sie ARNs die Automatisierungsregeln an, für die Sie Details benötigen.

   Im folgenden Beispiel werden Details für die angegebenen Automatisierungsregeln abgerufen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

   ```
   $ aws securityhub batch-get-automation-rules \
   --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
   --region us-east-1
   ```

------

# Automatisierungsregeln bearbeiten
<a name="edit-automation-rules"></a>

Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)

Nach der Erstellung einer Automatisierungsregel kann der delegierte Security Hub CSPM-Administrator die Regel bearbeiten. Wenn Sie eine Automatisierungsregel bearbeiten, gelten die Änderungen für neue und aktualisierte Ergebnisse, die Security Hub CSPM nach der Regelbearbeitung generiert oder aufnimmt.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um den Inhalt einer Automatisierungsregel zu bearbeiten. Sie können eine oder mehrere Regeln mit einer einzigen Anfrage bearbeiten. Anweisungen zum Bearbeiten der Regelreihenfolge finden Sie unter[Reihenfolge der Automatisierungsregeln bearbeiten](edit-rule-order.md).

------
#### [ Console ]

**So bearbeiten Sie Automatisierungsregeln (Konsole)**

1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich Automations aus.**

1. Wählen Sie die Regel aus, die Sie bearbeiten möchten. Wählen Sie **Aktion** und **Bearbeiten**.

1. Ändern Sie die Regel wie gewünscht und wählen Sie **Änderungen speichern**.

------
#### [ API ]

**Um Automatisierungsregeln (API) zu bearbeiten**

1. Führen Sie die Ausführung [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)über das Security Hub CSPM-Administratorkonto aus.

1. Geben Sie für den `RuleArn` Parameter den ARN der Regel (n) an, die Sie bearbeiten möchten.

1. Geben Sie die neuen Werte für die Parameter an, die Sie bearbeiten möchten. Sie können jeden Parameter bearbeiten, außer`RuleArn`.

Im folgenden Beispiel für wird die angegebene Automatisierungsregel aktualisiert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
    {
      "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
          "Note": {
            "Text": "Known issue that is a risk",
            "UpdatedBy": "sechub-automation"
          },
          "Workflow": {
            "Status": "NEW"
          }
        }
      }],
      "Criteria": {
        "SeverityLabel": [{
         "Value": "LOW",
         "Comparison": "EQUALS"
        }]
      },
      "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
      "RuleOrder": 14,
      "RuleStatus": "DISABLED",
    }
  ]' \
--region us-east-1
```

------

# Reihenfolge der Automatisierungsregeln bearbeiten
<a name="edit-rule-order"></a>

Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)

Nach der Erstellung einer Automatisierungsregel kann der delegierte Security Hub CSPM-Administrator die Regel bearbeiten.

Wenn Sie die Regelkriterien und Aktionen unverändert lassen möchten, aber die Reihenfolge ändern möchten, in der Security Hub CSPM eine Automatisierungsregel anwendet, können Sie nur die Reihenfolge der Regeln bearbeiten. Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Reihenfolge der Regeln zu bearbeiten.

Anweisungen zum Bearbeiten der Kriterien oder Aktionen einer Automatisierungsregel finden Sie unter[Automatisierungsregeln bearbeiten](edit-automation-rules.md).

------
#### [ Console ]

**So bearbeiten Sie die Reihenfolge der Automatisierungsregeln (Konsole)**

1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich Automations aus.**

1. Wählen Sie die Regel aus, deren Reihenfolge Sie ändern möchten. Wählen Sie **Priorität bearbeiten**.

1. Wählen **Sie Nach oben**, um die Priorität der Regel um eine Einheit zu erhöhen. Wählen **Sie Nach unten**, um die Priorität der Regel um eine Einheit zu verringern. Wählen **Sie „Nach oben“**, um der Regel die Reihenfolge **1** zuzuweisen (dadurch hat die Regel Vorrang vor anderen bestehenden Regeln).

**Anmerkung**  
Wenn Sie eine Regel in der Security Hub CSPM-Konsole erstellen, weist Security Hub CSPM automatisch die Regelreihenfolge auf der Grundlage der Reihenfolge der Regelerstellung zu. Die zuletzt erstellte Regel hat den niedrigsten numerischen Wert für die Regelreihenfolge und gilt daher zuerst.

------
#### [ API ]

**Um die Reihenfolge der Automatisierungsregeln (API) zu bearbeiten**

1. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)Vorgang vom Security Hub CSPM-Administratorkonto aus.

1. Geben Sie für den `RuleArn` Parameter den ARN der Regel (n) an, deren Reihenfolge Sie bearbeiten möchten.

1. Ändern Sie den Wert des `RuleOrder` Felds.

**Anmerkung**  
Wenn mehrere Regeln dasselbe haben`RuleOrder`, wendet Security Hub CSPM zuerst eine Regel mit einem früheren Wert für das `UpdatedAt` Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).

------

# Automatisierungsregeln löschen oder deaktivieren
<a name="delete-automation-rules"></a>

Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)

Wenn Sie eine Automatisierungsregel löschen, entfernt Security Hub CSPM sie aus Ihrem Konto und wendet die Regel nicht mehr auf Ergebnisse an. Als Alternative zum Löschen können Sie eine Regel *deaktivieren*. Dadurch wird die Regel für die future Verwendung beibehalten, aber Security Hub CSPM wendet die Regel erst auf übereinstimmende Ergebnisse an, wenn Sie sie aktivieren.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Löschen einer Automatisierungsregel. Sie können eine oder mehrere Regeln in einer einzigen Anfrage löschen.

------
#### [ Console ]

**Um Automatisierungsregeln zu löschen oder zu deaktivieren (Konsole)**

1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Navigationsbereich Automations aus.**

1. Wählen Sie die Regel (n) aus, die Sie löschen möchten. Wählen Sie **Aktion** und **Löschen** (um eine Regel beizubehalten, sie aber vorübergehend zu deaktivieren, wählen Sie **Deaktivieren**).

1. Bestätigen Sie Ihre Wahl und wählen Sie **Delete (Löschen)** aus.

------
#### [ API ]

**Um Automatisierungsregeln (API) zu löschen oder zu deaktivieren**

1. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html)Vorgang vom Security Hub CSPM-Administratorkonto aus.

1. Geben Sie für den `AutomationRulesArns` Parameter den ARN der Regel (n) an, die Sie löschen möchten (um eine Regel beizubehalten, sie aber vorübergehend zu deaktivieren, geben `DISABLED` Sie den `RuleStatus` Parameter an).

Im folgenden Beispiel für wird die angegebene Automatisierungsregel gelöscht. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```

------

# Beispiele für Automatisierungsregeln
<a name="examples-automation-rules"></a>

Dieser Abschnitt enthält Beispiele für Automatisierungsregeln für gängige Security Hub CSPM-Anwendungsfälle. Diese Beispiele entsprechen Regelvorlagen, die auf der Security Hub CSPM-Konsole verfügbar sind.

## Erhöhen Sie den Schweregrad auf Kritisch, wenn eine bestimmte Ressource, z. B. ein S3-Bucket, gefährdet ist
<a name="example-automation-rule-severity-resource"></a>

In diesem Beispiel werden die Regelkriterien erfüllt, wenn es sich `ResourceId` bei einem Ergebnis um einen bestimmten Amazon Simple Storage Service (Amazon S3) -Bucket handelt. Die Regelaktion besteht darin, den Schweregrad der übereinstimmenden Ergebnisse auf zu ändern`CRITICAL`. Sie können diese Vorlage ändern, um sie auf andere Ressourcen anzuwenden.

**Beispiel für eine API-Anfrage**:

```
{
    "IsTerminal": true,
    "RuleName": "Elevate severity of findings that relate to important resources",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub CSPM",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "ResourceId": [{
            "Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "This is a critical resource. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Beispiel für einen CLI-Befehl:**

```
$ 
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \

--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

## Erhöhen Sie den Schweregrad von Feststellungen, die sich auf Ressourcen in Produktionskonten beziehen
<a name="example-automation-rule-severity-change"></a>

In diesem Beispiel werden die Regelkriterien erfüllt, wenn in bestimmten Produktionskonten ein `HIGH` Schweregrad festgestellt wird. Die Regelaktion besteht darin, den Schweregrad der übereinstimmenden Ergebnisse auf zu ändern`CRITICAL`.

**Beispiel für eine API-Anfrage**:

```
{
    "IsTerminal": false,
    "RuleName": "Elevate severity for production accounts",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub CSPM",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "HIGH",
            "Comparison": "EQUALS"
        }],
        "AwsAccountId": [
        {
            "Value": "111122223333",
            "Comparison": "EQUALS"
        },
        {
            "Value": "123456789012",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "A resource in production accounts is at risk. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Beispiel für einen CLI-Befehl**:

```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

## Informative Ergebnisse unterdrücken
<a name="example-automation-rule-change-workflow"></a>

In diesem Beispiel werden die Regelkriterien für die Ergebnisse des `INFORMATIONAL` Schweregrads, die von Amazon an Security Hub CSPM gesendet wurden, abgeglichen. GuardDuty Die Regelaktion besteht darin, den Workflow-Status der übereinstimmenden Ergebnisse auf zu ändern. `SUPPRESSED`

**Beispiel für eine API-Anfrage**:

```
{
    "IsTerminal": false,
    "RuleName": "Suppress informational findings",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
    "Criteria": {
        "ProductName": [{
            "Value": "GuardDuty",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "INFORMATIONAL",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Workflow": {
                "Status": "SUPPRESSED"
            },
            "Note": {
                "Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Beispiel für einen CLI-Befehl**:

```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

# Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen
<a name="securityhub-cloudwatch-events"></a>

Durch die Erstellung von Regeln in Amazon EventBridge können Sie automatisch auf CSPM-Ergebnisse von AWS Security Hub reagieren. Security Hub CSPM sendet Ergebnisse als *Ereignisse* nahezu EventBridge in Echtzeit an. Sie können einfache Regeln schreiben, um anzugeben, an welchen Ereignissen Sie interessiert sind und welche automatisierten Aktionen ergriffen werden sollen, wenn ein Ereignis einer Regel entspricht. Die folgenden Aktionen können beispielsweise automatisch ausgelöst werden:
+ Eine AWS Lambda Funktion aufrufen
+ Aufrufen des Amazon EC2 EC2-Run-Befehls
+ Weiterleiten des Ereignisses an Amazon Kinesis Data Streams
+ Aktivierung einer Zustandsmaschine AWS Step Functions 
+ Benachrichtigen eines Amazon SNS-Themas oder einer Amazon SQS-Warteschlange
+ Senden eines Funds an ein Ticketing-, Chat-, SIEM- oder Incident-Response- und Management-Tool eines Drittanbieters

Security Hub CSPM sendet automatisch alle neuen Erkenntnisse und alle Aktualisierungen vorhandener Ergebnisse EventBridge als EventBridge Ereignisse an. Sie können auch benutzerdefinierte Aktionen erstellen, mit denen Sie ausgewählte Ergebnisse und Insight-Ergebnisse an senden können. EventBridge

Anschließend konfigurieren Sie EventBridge Regeln, um auf jeden Ereignistyp zu reagieren.

Weitere Informationen zur Verwendung EventBridge finden Sie im [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html).

**Anmerkung**  
Als bewährte Methode sollten Sie sicherstellen, dass für die Zugriffsberechtigungen, die Ihren Benutzern gewährt werden, IAM-Richtlinien AWS Identity and Access Management (Least-Privilege) EventBridge verwendet werden, die nur die erforderlichen Berechtigungen gewähren.  
Weitere Informationen finden Sie unter [Identitäts- und Zugriffsverwaltung in Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html). 

Eine Reihe von Vorlagen für kontenübergreifende automatisierte Reaktionen und Problembehebungen ist auch unter Lösungen verfügbar. AWS Die Vorlagen nutzen EventBridge Ereignisregeln und Lambda-Funktionen. Sie stellen die Lösung mit CloudFormation und AWS Systems Manager bereit. Die Lösung kann vollautomatische Reaktions- und Abhilfemaßnahmen erstellen. Es kann auch benutzerdefinierte Security Hub CSPM-Aktionen verwenden, um vom Benutzer ausgelöste Reaktions- und Abhilfemaßnahmen zu erstellen. Einzelheiten zur Konfiguration und Verwendung der Lösung finden Sie auf der Lösungsseite [Automated Security Response](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/). AWS

**Topics**
+ [

# Security Hub CSPM-Ereignistypen in EventBridge
](securityhub-cwe-integration-types.md)
+ [

# EventBridge Veranstaltungsformate für Security Hub CSPM
](securityhub-cwe-event-formats.md)
+ [

# Konfiguration einer EventBridge Regel für Security Hub CSPM-Ergebnisse
](securityhub-cwe-all-findings.md)
+ [

# Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnissen an EventBridge
](securityhub-cwe-custom-actions.md)

# Security Hub CSPM-Ereignistypen in EventBridge
<a name="securityhub-cwe-integration-types"></a>

Security Hub CSPM verwendet die folgenden EventBridge Amazon-Ereignistypen für die Integration. EventBridge

Auf dem EventBridge Dashboard für Security Hub CSPM umfasst **Alle Ereignisse all** diese Ereignistypen.

## Alle Funde (Security Hub Findings - Imported)
<a name="securityhub-cwe-integration-types-all-findings"></a>

 Security Hub CSPM sendet automatisch alle neuen Erkenntnisse und alle Aktualisierungen vorhandener Ergebnisse EventBridge als **Security Hub Findings - Imported**Ereignisse an. Jedes **Security Hub Findings - Imported**Ereignis enthält ein einzelnes Ergebnis.

Jede [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)AND-Anfrage löst ein **Security Hub Findings - Imported**Ereignis aus.

Bei Administratorkonten EventBridge enthält der Event-Feed Ereignisse für Ergebnisse sowohl aus ihrem Konto als auch aus ihren Mitgliedskonten.

In einer Aggregationsregion enthält der Event-Feed Ereignisse für Ergebnisse aus der Aggregationsregion und den verknüpften Regionen. Regionsübergreifende Ergebnisse werden nahezu in Echtzeit in den Event-Feed aufgenommen. Informationen zur Konfiguration der Suchaggregation finden Sie unter. [Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM](finding-aggregation.md)

Sie können Regeln definieren EventBridge , die Ergebnisse automatisch an einen Korrektur-Workflow, ein Drittanbieter-Tool oder ein [anderes unterstütztes EventBridge ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) Ziel weiterleiten. Die Regeln können Filter enthalten, die die Regel nur anwenden, wenn das Ergebnis bestimmte Attributwerte hat.

Sie verwenden diese Methode, um automatisch alle Ergebnisse oder alle Ergebnisse, die bestimmte Merkmale aufweisen, an einen Reaktions- oder Behebungsworkflow zu senden.

Siehe [Konfiguration einer EventBridge Regel für Security Hub CSPM-Ergebnisse](securityhub-cwe-all-findings.md).

## Funde für benutzerdefinierte Aktionen (Security Hub Findings - Custom Action)
<a name="securityhub-cwe-integration-types-finding-custom-action"></a>

Security Hub CSPM sendet auch Ergebnisse, die mit benutzerdefinierten Aktionen verknüpft sind, EventBridge als **Security Hub Findings - Custom Action**Ereignisse an.

Dies ist nützlich für Analysten, die mit der Security Hub CSPM-Konsole arbeiten und ein bestimmtes Ergebnis oder eine kleine Gruppe von Ergebnissen an einen Reaktions- oder Behebungsworkflow senden möchten. Sie können eine benutzerdefinierte Aktion für bis zu 20 Funde gleichzeitig auswählen. Jedes Ergebnis wird EventBridge als separates Ereignis gesendet. EventBridge 

Wenn Sie eine benutzerdefinierte Aktion erstellen, weisen Sie ihr eine benutzerdefinierte Aktions-ID zu. Sie können diese ID verwenden, um eine EventBridge Regel zu erstellen, die eine bestimmte Aktion ausführt, nachdem sie ein Ergebnis erhalten hat, das mit dieser benutzerdefinierten Aktions-ID verknüpft ist.

Siehe [Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnissen an EventBridge](securityhub-cwe-custom-actions.md).

Sie können beispielsweise eine benutzerdefinierte Aktion in Security Hub CSPM mit dem Namen erstellen. `send_to_ticketing` Anschließend erstellen Sie eine Regel EventBridge, die ausgelöst wird, wenn EventBridge ein Ergebnis eingeht, das die `send_to_ticketing` benutzerdefinierte Aktions-ID enthält. Die Regel beinhaltet eine Logik zum Senden der Funde an Ihr Ticketing-System. Anschließend können Sie Ergebnisse in Security Hub CSPM auswählen und die benutzerdefinierte Aktion in Security Hub CSPM verwenden, um Ergebnisse manuell an Ihr Ticketsystem zu senden.

Beispiele dafür, wie Sie Security Hub CSPM-Ergebnisse EventBridge zur weiteren Verarbeitung an diese senden können, finden Sie im Blog [How to Integrate AWS Security Hub CSPM Custom Actions with PagerDuty](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) and [How to Enable Custom Actions in AWS Security Hub CSPM](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) on the AWS Partner Network (APN) -Blog.

## Insight-Ergebnisse für benutzerdefinierte Aktionen (Security Hub Insight Results)
<a name="securityhub-cwe-integration-types-insight-custom-action"></a>

Sie können auch benutzerdefinierte Aktionen verwenden, um Gruppen von Insight-Ergebnissen als Ereignisse an sie zu senden. EventBridge **Security Hub Insight Results** Insight-Ergebnisse sind die Ressourcen, die einem Einblick entsprechen. Beachten Sie, dass Sie, wenn Sie Insight-Ergebnisse an senden EventBridge, die Ergebnisse nicht an diese senden EventBridge. Sie senden nur die Ressourcen-IDs, die mit den Insight-Ergebnissen verknüpft sind. Sie können bis zu 100 Ressourcenkennungen gleichzeitig senden.

Ähnlich wie bei benutzerdefinierten Aktionen für Ergebnisse erstellen Sie zuerst die benutzerdefinierte Aktion in Security Hub CSPM und dann eine Regel in. EventBridge

Siehe [Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnissen an EventBridge](securityhub-cwe-custom-actions.md).

Nehmen wir zum Beispiel an, Sie sehen ein bestimmtes Insight-Ergebnis von Interesse, das Sie mit einem Kollegen teilen möchten. In diesem Fall können Sie eine benutzerdefinierte Aktion verwenden, um dieses Insight-Ergebnis über ein Chat- oder Ticketsystem an den Kollegen zu senden.

# EventBridge Veranstaltungsformate für Security Hub CSPM
<a name="securityhub-cwe-event-formats"></a>

Die **Security Hub Insight Results**Ereignistypen **Security Hub Findings - Imported**Security Findings - Custom Action****, und verwenden die folgenden Ereignistypen.

Das Ereignisformat ist das Format, das verwendet wird, wenn Security Hub CSPM ein Ereignis sendet. EventBridge

## Security Hub Findings - Imported
<a name="securityhub-cwe-event-formats-findings-imported"></a>

**Security Hub Findings - Imported**Ereignisse, die von Security Hub CSPM gesendet werden, um das folgende EventBridge Format zu verwenden.

```
{
   "version":"0",
   "id":"CWE-event-id",
   "detail-type":"Security Hub Findings - Imported",
   "source":"aws.securityhub",
   "account":"111122223333",
   "time":"2019-04-11T21:52:17Z",
   "region":"us-west-2",
   "resources":[
      "arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
   ],
   "detail":{
      "findings": [{
         <finding content>
       }]
   }
}
```

`<finding content>`ist der Inhalt des Ergebnisses, das durch das Ereignis gesendet wird, im JSON-Format. Jedes Ereignis sendet einen einzelnen Befund.

Eine vollständige Liste der Suchattribute finden Sie unter[AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md).

Informationen zur Konfiguration von EventBridge Regeln, die durch diese Ereignisse ausgelöst werden, finden Sie unter[Konfiguration einer EventBridge Regel für Security Hub CSPM-Ergebnisse](securityhub-cwe-all-findings.md).

## Security Hub Findings - Custom Action
<a name="securityhub-cwe-event-formats-findings-custom-action"></a>

**Security Hub Findings - Custom Action**Ereignisse, die von Security Hub CSPM gesendet werden, um das folgende EventBridge Format zu verwenden. Jeder Befund wird in einem separaten Ereignis gesendet.

```
{
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Findings - Custom Action",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2019-04-11T18:43:48Z",
  "region": "us-west-1",
  "resources": [
    "arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
  ],
  "detail": {
    "actionName":"custom-action-name",
    "actionDescription": "description of the action",
    "findings": [
      {
        <finding content>
      }
    ]
  }
}
```

`<finding content>`ist der Inhalt des Ergebnisses, das durch das Ereignis gesendet wird, im JSON-Format. Jedes Ereignis sendet einen einzelnen Befund.

Eine vollständige Liste der Suchattribute finden Sie unter[AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md).

Informationen zur Konfiguration von EventBridge Regeln, die durch diese Ereignisse ausgelöst werden, finden Sie unter[Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnissen an EventBridge](securityhub-cwe-custom-actions.md).

## Security Hub Insight Results
<a name="securityhub-cwe-event-formats-insight-results"></a>

**Security Hub Insight Results**Ereignisse, die von Security Hub CSPM gesendet werden, um das folgende EventBridge Format zu verwenden.

```
{ 
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Insight Results",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2017-12-22T18:43:48Z",
  "region": "us-west-1",
  "resources": [
      "arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
  ],
  "detail": {
    "actionName":"name of the action",
    "actionDescription":"description of the action",
    "insightArn":"ARN of the insight",
    "insightName":"Name of the insight",
    "resultType":"ResourceAwsIamAccessKeyUserName",
    "number of results":"number of results, max of 100",
    "insightResults": [
        {"result 1": 5},
        {"result 2": 6}
    ]
  }
}
```

Informationen zum Erstellen einer EventBridge Regel, die durch diese Ereignisse ausgelöst wird, finden Sie unter. [Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnissen an EventBridge](securityhub-cwe-custom-actions.md)

# Konfiguration einer EventBridge Regel für Security Hub CSPM-Ergebnisse
<a name="securityhub-cwe-all-findings"></a>

Sie können in Amazon eine Regel erstellen EventBridge , die eine Aktion definiert, die ausgeführt werden soll, wenn ein **Security Hub Findings - Imported**Ereignis eingeht. **Security Hub Findings - Imported**Ereignisse werden durch Aktualisierungen sowohl von den als auch von [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)Vorgängen ausgelöst.

Jede Regel enthält ein Ereignismuster, das die Ereignisse identifiziert, die die Regel auslösen. Das Ereignismuster enthält immer die Ereignisquelle (`aws.securityhub`) und den Ereignistyp (**Security Hub Hub-Ergebnisse — Importiert**). Das Ereignismuster kann auch Filter angeben, um die Ergebnisse zu identifizieren, für die die Regel gilt.

Die Ereignisregel identifiziert dann die Regelziele. Die Ziele sind die Aktionen, die ergriffen werden müssen, EventBridge wenn ein Ereignis aus **Security Hub Findings — Imported eingeht** und das Ergebnis den Filtern entspricht.

Die hier bereitgestellten Anweisungen verwenden die EventBridge Konsole. Wenn Sie die Konsole verwenden, EventBridge wird automatisch die erforderliche ressourcenbasierte Richtlinie erstellt, die das Schreiben in Amazon CloudWatch Logs ermöglicht EventBridge .

Sie können auch den [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)Betrieb der EventBridge API verwenden. Wenn Sie jedoch die EventBridge API verwenden, müssen Sie die ressourcenbasierte Richtlinie erstellen. Informationen zu den erforderlichen Richtlinien finden Sie unter [CloudWatch Logs-Berechtigungen](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) im * EventBridge Amazon-Benutzerhandbuch*.

## Format des Ereignismusters
<a name="securityhub-cwe-all-findings-rule-format"></a>

Das Format des Ereignismusters für **Security Hub Findings — Importierte** Ereignisse lautet wie folgt:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}
```
+ `source`identifiziert Security Hub CSPM als den Dienst, der das Ereignis generiert.
+ `detail-type`identifiziert den Ereignistyp.
+ `detail`ist optional und stellt die Filterwerte für das Ereignismuster bereit. Wenn das Ereignismuster kein `detail` Feld enthält, lösen alle Ergebnisse die Regel aus.

Sie können die Ergebnisse auf der Grundlage eines beliebigen Ergebnisattributs filtern. Für jedes Attribut geben Sie ein durch Kommas getrenntes Array mit einem oder mehreren Werten an.

```
"<attribute name>": [ "<value1>", "<value2>"]
```

Wenn Sie mehr als einen Wert für ein Attribut angeben, werden diese Werte durch verknüpft. `OR` Ein Ergebnis entspricht dem Filter für ein einzelnes Attribut, wenn das Ergebnis einen der aufgelisteten Werte enthält. Wenn Sie beispielsweise `INFORMATIONAL` sowohl als auch `LOW` als Werte für angeben`Severity.Label`, stimmt das Ergebnis überein, wenn es den Schweregrad entweder `INFORMATIONAL` oder hat`LOW`.

Die Attribute werden durch verknüpft`AND`. Ein Ergebnis stimmt überein, wenn es den Filterkriterien für alle angegebenen Attribute entspricht.

Wenn Sie einen Attributwert angeben, muss dieser die Position dieses Attributs innerhalb der ASFF-Struktur ( AWS Security Finding Format) widerspiegeln.

**Tipp**  
Wir empfehlen, beim Filtern von Kontrollergebnissen die [Felder `SecurityControlId` oder `SecurityControlArn` ASFF](securityhub-findings-format.md) als Filter zu verwenden und nicht oder. `Title` `Description` Letztere Felder können sich gelegentlich ändern, wohingegen die Kontroll-ID und der ARN statische Identifikatoren sind.

Im folgenden Beispiel stellt das Ereignismuster Filterwerte für `ProductArn` und bereit`Severity.Label`, sodass ein Ergebnis übereinstimmt, wenn es von Amazon Inspector generiert wurde und den Schweregrad entweder `INFORMATIONAL` oder hat`LOW`.

```
{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Security Hub Findings - Imported"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}
```

## Eine Ereignisregel erstellen
<a name="securityhub-cwe-all-findings-predefined-pattern"></a>

Sie können ein vordefiniertes oder ein benutzerdefiniertes Ereignismuster verwenden, um eine Regel in zu erstellen EventBridge. Wenn Sie ein vordefiniertes Muster auswählen, EventBridge wird automatisch `source` und ausgefüllt`detail-type`. EventBridge bietet außerdem Felder zur Angabe von Filterwerten für die folgenden Suchattribute:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`

**Um eine EventBridge Regel zu erstellen (Konsole)**

1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Erstellen Sie mit den folgenden Werten eine EventBridge Regel, die das Auffinden von Ereignissen überwacht:
   + Bei **Regeltyp** wählen Sie **Regel mit einem Ereignismuster** aus.
   + Wählen Sie aus, wie das Ereignismuster erstellt werden soll.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
   + Wählen Sie für **Zieltypen** die Option **AWS Service** und für Ziel **auswählen ein Ziel** aus, z. B. ein Amazon SNS-Thema oder eine Amazon AWS Lambda SNS-Funktion. Das Ziel wird ausgelöst, wenn ein Ereignis empfangen wird, das dem in der Regel definierten Ereignismuster entspricht.

   Einzelheiten zum Erstellen von Regeln finden Sie im [* EventBridge Amazon-Benutzerhandbuch unter Erstellen von EventBridge Amazon-Regeln*, die auf Ereignisse reagieren](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html).

# Verwenden von benutzerdefinierten Aktionen zum Senden von Ergebnissen und Erkenntnissen an EventBridge
<a name="securityhub-cwe-custom-actions"></a>

Um benutzerdefinierte AWS Security Hub CSPM-Aktionen zu verwenden, um Ergebnisse oder Insight-Ergebnisse an Amazon zu senden EventBridge, erstellen Sie zunächst die benutzerdefinierte Aktion in Security Hub CSPM. Anschließend können Sie Regeln definieren, die für Ihre EventBridge benutzerdefinierten Aktionen gelten.

Sie können bis zu 50 benutzerdefinierte Aktionen erstellen.

Wenn Sie die regionsübergreifende Aggregation aktivieren und Ergebnisse aus der Aggregationsregion verwalten, erstellen Sie benutzerdefinierte Aktionen in der Aggregationsregion.

Die Regel EventBridge verwendet den Amazon-Ressourcennamen (ARN) aus der benutzerdefinierten Aktion.

# Eine benutzerdefinierte Aktion erstellen
<a name="securityhub-cwe-configure"></a>

Wenn Sie eine benutzerdefinierte Aktion in AWS Security Hub CSPM erstellen, geben Sie ihren Namen, ihre Beschreibung und eine eindeutige Kennung an.

Eine benutzerdefinierte Aktion gibt an, welche Aktionen ausgeführt werden sollen, wenn ein EventBridge Ereignis einer EventBridge Regel entspricht. Security Hub CSPM sendet jedes Ergebnis EventBridge als Ereignis an.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um eine benutzerdefinierte Aktion zu erstellen.

------
#### [ Console ]

**Um eine benutzerdefinierte Aktion in Security Hub CSPM (Konsole) zu erstellen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich **Settings (Einstellungen)** und dann **Custom actions (Benutzerdefinierte Aktionen)** aus.

1. Wählen Sie **Create custom action (Benutzerdefinierte Aktion erstellen)** aus.

1. Machen Sie für die Aktion Angaben bei **Name**, **Description (Beschreibung)** und **Custom action ID (Benutzerdefinierte Aktions-ID)**.

   Der **Name** muss weniger als 20 Zeichen lang sein.

   Die **benutzerdefinierte Aktions-ID** muss für jedes AWS Konto eindeutig sein.

1. Wählen Sie **Create custom action (Benutzerdefinierte Aktion erstellen)** aus.

1. Notieren Sie sich den **Custom action ARN (Benutzerdefinierter Aktions-ARN)**. Sie müssen den ARN verwenden, wenn Sie eine Regel erstellen, um sie in EventBridge dieser Aktion zuzuordnen.

------
#### [ API ]

**Um eine benutzerdefinierte Aktion (API) zu erstellen**

Verwenden Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html)Operation. Wenn Sie den verwenden AWS CLI, führen Sie den [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)Befehl aus.

Im folgenden Beispiel wird eine benutzerdefinierte Aktion erstellt, um Ergebnisse an ein Behebungstool zu senden. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```

------

# Definition einer Regel in EventBridge
<a name="securityhub-cwe-define-rule"></a>

Um eine benutzerdefinierte Aktion in Amazon auszulösen EventBridge, müssen Sie eine entsprechende Regel in erstellen EventBridge. Die Regeldefinition beinhaltet den Amazon-Ressourcennamen (ARN) der benutzerdefinierten Aktion.

Das Ereignismuster für ein **Security Hub Findings — Custom Action-Ereignis** hat das folgende Format:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

Das Ereignismuster für ein **Security Hub Insight Results-Ereignis** hat das folgende Format:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

In beiden Mustern `<custom action ARN>` ist dies der ARN einer benutzerdefinierten Aktion. Sie können eine Regel konfigurieren, die für mehr als eine benutzerdefinierte Aktion gilt.

Die hier bereitgestellten Anweisungen gelten für die EventBridge Konsole. Wenn Sie die Konsole verwenden, EventBridge wird automatisch die erforderliche ressourcenbasierte Richtlinie erstellt, die das Schreiben EventBridge in Protokolle ermöglicht. CloudWatch 

Sie können auch den [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)API-Betrieb der EventBridge API verwenden. Wenn Sie jedoch die EventBridge API verwenden, müssen Sie die ressourcenbasierte Richtlinie erstellen. Einzelheiten zu den erforderlichen Richtlinien finden Sie unter [CloudWatch Logs-Berechtigungen](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) im * EventBridge Amazon-Benutzerhandbuch*.

**Um eine Regel in EventBridge (EventBridge Konsole) zu definieren**

1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Wählen Sie im Navigationsbereich **Regeln** aus.

1. Wählen Sie **Regel erstellen** aus.

1. Geben Sie einen Namen und eine Beschreibung für die Regel ein.

1. Wählen Sie für **Event Bus** den Event Bus aus, den Sie dieser Regel zuordnen möchten. Wenn Sie möchten, dass diese Regel mit Ereignissen aus Ihrem eigenen Konto übereinstimmt, wählen Sie **Standard** aus. Wenn ein AWS -Service in Ihrem Konto ein Ereignis ausgibt, wird es stets an den Standard-Event-Bus Ihres Kontos weitergeleitet.

1. Bei **Regeltyp** wählen Sie **Regel mit einem Ereignismuster** aus.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie unter **Event source** (Ereignisquelle) **AWS events** (Ereignisse) aus.

1. Wählen Sie für **Ereignismuster** die Option **Ereignismusterformular**.

1. Als **Event source** (Ereignisquelle) wählen Sie **AWS -Services** aus.

1. Wählen Sie als **AWS Service** **Security Hub**.

1. Führen Sie für **Type (Typ)** eine der folgenden Aktionen aus:
   + Um eine Regel zu erstellen, die angewendet wird, wenn Sie Ergebnisse an eine benutzerdefinierte Aktion senden, wählen Sie **Security Hub Hub-Ergebnisse — Benutzerdefinierte Aktion**.
   + Um eine Regel zu erstellen, die angewendet wird, wenn Sie Insight-Ergebnisse an eine benutzerdefinierte Aktion senden, wählen Sie **Security Hub Insight-Ergebnisse**.

1. Wählen Sie **Spezifische benutzerdefinierte Aktion ARNs** und fügen Sie einen benutzerdefinierten Aktions-ARN hinzu.

   Wenn die Regel für mehrere benutzerdefinierte Aktionen gilt, wählen Sie **Hinzufügen** aus, um weitere benutzerdefinierte Aktionen hinzuzufügen ARNs.

1. Wählen Sie **Weiter** aus.

1. **Wählen und konfigurieren Sie unter Ziele** auswählen das Ziel, das aufgerufen werden soll, wenn diese Regel erfüllt ist.

1. Wählen Sie **Weiter** aus.

1. (Optional) Geben Sie ein oder mehrere Tags für die Regel ein. Weitere Informationen finden Sie unter [ EventBridge Amazon-Tags](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) im * EventBridge Amazon-Benutzerhandbuch*.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die Details der Regel und wählen Sie dann **Regel erstellen** aus.

   Wenn Sie eine benutzerdefinierte Aktion mit Ergebnissen oder Insight-Ergebnissen in Ihrem Konto durchführen, werden Ereignisse in generiert EventBridge.

# Auswahl einer benutzerdefinierten Aktion für Ergebnisse und Insight-Ergebnisse
<a name="securityhub-cwe-send"></a>

Nachdem Sie benutzerdefinierte AWS Security Hub CSPM-Aktionen und EventBridge Amazon-Regeln erstellt haben, können Sie Ergebnisse und Insight-Ergebnisse EventBridge zur automatischen Verwaltung und Verarbeitung an diese senden.

Ereignisse werden EventBridge nur an das Konto gesendet, in dem sie angesehen werden. Wenn Sie ein Ergebnis mit einem Administratorkonto anzeigen, wird das Ereignis EventBridge an das Administratorkonto gesendet.

Damit AWS API-Aufrufe wirksam sind, müssen bei den Implementierungen des Zielcodes Rollen in Mitgliedskonten umgewandelt werden. Das bedeutet auch, dass die Rolle, in die Sie wechseln, für jedes Mitglied bereitgestellt werden muss, bei dem Maßnahmen erforderlich sind.

**Um Ergebnisse an EventBridge (Konsole) zu senden**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Zeigen Sie eine Liste der Ergebnisse an:
   + Unter **Ergebnisse** können Sie die Ergebnisse aller aktivierten Produktintegrationen und Kontrollen einsehen.
   + Unter **Sicherheitsstandards** können Sie zu einer Liste mit Ergebnissen navigieren, die anhand einer bestimmten Kontrolle generiert wurden. Weitere Informationen finden Sie unter [Überprüfung der Details der Kontrollen in Security Hub CSPM](securityhub-standards-control-details.md).
   + Unter **Integrationen** können Sie zu einer Liste von Ergebnissen navigieren, die durch eine aktivierte Integration generiert wurden. Weitere Informationen finden Sie unter [Ergebnisse einer Security Hub CSPM-Integration anzeigen](securityhub-integration-view-findings.md).
   + In **Insights** können Sie zu einer Ergebnisliste für ein Insight-Ergebnis navigieren. Weitere Informationen finden Sie unter [Überprüfung und Umsetzung der Erkenntnisse aus Security Hub CSPM](securityhub-insights-view-take-action.md).

1. Wählen Sie die Ergebnisse aus, an die Sie senden möchten EventBridge. Sie können bis zu 20 Ergebnisse gleichzeitig auswählen.

1. Wählen Sie unter **Aktionen** die benutzerdefinierte Aktion aus, die der anzuwendenden EventBridge Regel entspricht.

   Security Hub CSPM sendet für jeden **Befund ein separates Ereignis Security Hub Findings — Custom Action**.

**Um Insight-Ergebnisse an EventBridge (Konsole) zu senden**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich ** Insights** aus.

1. Wählen Sie auf der **Insights-Seite** den Insight aus, der die Ergebnisse enthält, an die Sie senden möchten. EventBridge

1. Wählen Sie die Insight-Ergebnisse aus, an die Sie senden möchten EventBridge. Sie können bis zu 20 Ergebnisse gleichzeitig auswählen.

1. Wählen Sie unter **Aktionen** die benutzerdefinierte Aktion aus, die der anzuwendenden EventBridge Regel entspricht.

# Arbeiten mit dem Dashboard in Security Hub CSPM
<a name="dashboard"></a>

Auf der Security Hub CSPM-Konsole zeigt das **Übersichts-Dashboard** eine Zusammenfassung Ihrer Risiken, Angriffssequenzen und Sicherheitsvorkehrungen. Dieses Dashboard hilft Ihnen dabei, Risiken und Angriffssequenzen auf der Grundlage des Schweregrads und der Kontoabdeckung für verschiedene Sicherheitsfunktionen zu identifizieren. Jedes Mal, wenn Sie das Dashboard öffnen, wird es automatisch aktualisiert. Beachten Sie jedoch, dass Sicherheitsbewertungen und Kontrollstatus alle 24 Stunden aktualisiert werden. 

Sie können das **Übersichts-Dashboard** anpassen, indem Sie verschiedene Sicherheits-Widgets hinzufügen oder daraus entfernen. Sie können auch Filterkriterien angeben, um bestimmte Datentypen abzurufen und anzuzeigen. Wenn Sie das Dashboard anpassen, speichert Security Hub Ihre Anpassungseinstellungen. Wenn andere Benutzer Ihres Kontos das Dashboard anpassen, werden ihre Änderungen unabhängig von Ihren Anpassungseinstellungen gespeichert. 

Wenn Sie die regionsübergreifende Aggregation in Security Hub CSPM konfiguriert haben, zeigt das **Übersichts-Dashboard** Ihre aggregierten Daten an. Wenn es sich bei Ihrem Konto um das delegierte Administratorkonto für eine Organisation handelt, umfassen die Daten Ergebnisse für Ihr Konto und Ihre Mitgliedskonten. Wenn es sich bei Ihrem Konto um ein Mitgliedskonto oder ein eigenständiges Konto handelt, enthalten die Daten nur Ergebnisse für Ihr Konto.

**Topics**
+ [

## Verfügbare Widgets für das Übersichts-Dashboard
](#available-widgets)
+ [Das Dashboard filtern](filters-dashboard.md)
+ [Das Dashboard anpassen](customize-dashboard.md)

## Verfügbare Widgets für das Übersichts-Dashboard
<a name="available-widgets"></a>

Das **Übersichts-Dashboard** enthält Widgets, die die aktuelle Bedrohungslandschaft der Cloud-Sicherheit widerspiegeln und sich dabei an den Sicherheitsabläufen und Erfahrungen der AWS Kunden orientieren. Einige Widgets werden standardmäßig angezeigt, andere nicht. Sie können Ihre Ansicht des Dashboards anpassen, indem Sie Widgets hinzufügen oder entfernen.

Um ein Widget hinzuzufügen, wählen **Sie oben im Dashboard Widget hinzufügen** aus. Sie können dann die Liste der verfügbaren Widgets durchsuchen oder den Titel eines Widgets in die Suchleiste eingeben. Wenn Sie das hinzuzufügende Widget gefunden haben, ziehen Sie es an die Stelle, an der es auf dem Dashboard angezeigt werden soll. Weitere Informationen finden Sie unter [Das Dashboard anpassen](customize-dashboard.md).

### Standardmäßig werden Widgets angezeigt
<a name="widgets-shown-default"></a>

Standardmäßig enthält das **Übersichts-Dashboard** die folgenden Widgets.

**Sequenzen der wichtigsten Bedrohungen**  
Zeigt die Bedrohungssequenzen mit dem höchsten Schweregrad an. Die Ergebnisse der Bedrohungssequenz, bei Amazon als *Ergebnisse der Angriffssequenz* bekannt GuardDuty, korrelieren mehrere Ereignisse, um potenzielle Bedrohungen für Ihre AWS Umgebung zu identifizieren. Zu den Bedrohungssequenzen können aktuelle oder kürzlich aufgetretene Angriffe (innerhalb eines 24-Stunden-Zeitfensters) in Ihrer Umgebung gehören, die wiederum zu weiteren Bedrohungen führen können. Sie müssen GuardDuty S3-Schutz aktiviert haben GuardDuty , um Ergebnisse der Bedrohungssequenz in Security Hub CSPM empfangen zu können.

**Die größten Risiken**  
Zeigt eine Zusammenfassung der wichtigsten Risiken in Ihrer Umgebung an. Im oberen Bereich des Widgets wird die Anzahl der Risiken für jeden Schweregrad angezeigt. Sie können einen Schweregrad auswählen, um zur Seite **Risiken** zu gelangen, auf der die Risiken nach dem ausgewählten Schweregrad gefiltert werden. Die Risiken, die in Ihrer Umgebung am häufigsten vorkommen, werden zuerst angezeigt. Dieses Widget hilft Ihnen bei der Priorisierung der Risiken, die gemindert werden müssen.

**Sicherheitsabdeckung**  
Fasst den Umfang Ihres Sicherheitsschutzes auf der Grundlage der Ergebnisse der Deckungskontrolle zusammen. Bei der Deckungskontrolle wird geprüft, ob ein bestimmtes Objekt AWS-Service und seine Funktionen aktiviert sind (z. B.[[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1)). Mit diesem Widget können Sie sicherstellen, dass Sie über `PASSED` Ergebnisse für die Deckungskontrolle verfügen. Die Security Hub CSPM-Konsole bietet Links aus diesem Widget, mit denen Sie fehlende Sicherheitsfunktionen aktivieren können. Wir empfehlen, die zentrale Konfiguration zu verwenden, um fehlende Sicherheitsfunktionen für mehrere AWS-Konten und zu aktivieren. AWS-Regionen Weitere Informationen finden Sie unter [Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

**Sicherheitsstandards**  
Zeigt Ihre aktuelle zusammenfassende Sicherheitsbewertung und die Sicherheitsbewertung für jeden Security Hub CSPM-Standard an. Sicherheitswerte, die zwischen 0 und 100 Prozent liegen, stellen den Anteil der bestandenen Kontrollen im Verhältnis zu all Ihren aktivierten Kontrollen dar. Weitere Informationen zu diesen Bewertungen finden Sie unter. [Methode zur Berechnung von Sicherheitseinstufungen](standards-security-score.md#standard-security-score-calculation) Dieses Widget hilft Ihnen dabei, Ihren allgemeinen Sicherheitsstatus zu verstehen.

**Anlagen mit den meisten Ergebnissen**  
Bietet einen Überblick über die Ressourcen, Konten und Anwendungen mit den meisten Ergebnissen. Die Liste ist in absteigender Reihenfolge nach der Anzahl der Ergebnisse sortiert. Im Widget zeigt jede Registerkarte die sechs wichtigsten Elemente in dieser Kategorie, gruppiert nach Schweregrad und Ressourcentyp. Wenn Sie in der Spalte **Ergebnisse insgesamt** eine Zahl auswählen, öffnet Security Hub CSPM eine Seite, auf der die Ergebnisse für das Asset angezeigt werden. Mit diesem Widget können Sie schnell erkennen, welche Ihrer Kernressourcen potenzielle Sicherheitsbedrohungen bergen.

**Ergebnisse nach Regionen**  
Zeigt die Gesamtzahl der Ergebnisse, gruppiert nach Schweregrad, in jedem Fall an, AWS-Region in dem Security Hub CSPM aktiviert ist. Dieses Widget hilft Ihnen dabei, Sicherheitsprobleme zu identifizieren, die möglicherweise bestimmte Regionen betreffen. Wenn Sie das Dashboard in Ihrer Aggregationsregion öffnen, hilft Ihnen dieses Widget dabei, potenzielle Sicherheitsprobleme in jeder verknüpften Region zu überwachen. 

**Die häufigsten Bedrohungsarten**  
Bietet eine Aufschlüsselung der 10 häufigsten Bedrohungsarten in Ihrer AWS Umgebung. Dazu gehören Bedrohungen wie die Eskalation von Rechten, die Verwendung offengelegter Anmeldeinformationen oder die Kommunikation mit bösartigen IP-Adressen.  
Um diese Daten anzeigen zu können, GuardDuty muss [Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) aktiviert sein. Wenn ja, wählen Sie in diesem Widget einen Bedrohungstyp aus, um die GuardDuty Konsole zu öffnen und die Ergebnisse zu dieser Bedrohung zu überprüfen. Dieses Widget hilft Ihnen dabei, potenzielle Bedrohungen im Zusammenhang mit anderen Sicherheitsproblemen zu bewerten.

**Sicherheitslücken in Software durch Exploits**  
Bietet eine Zusammenfassung der Softwareschwachstellen, die in Ihrer AWS Umgebung bestehen und für die bereits bekannte Exploits vorliegen. Sie können sich auch eine Aufschlüsselung der Sicherheitslücken ansehen, für die es Lösungen gibt und für die es keine gibt.  
Um diese Daten anzeigen zu können, muss [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/securityhub-integration.html) aktiviert sein. Falls ja, wählen Sie eine Statistik in diesem Widget aus, um die Amazon Inspector Inspector-Konsole zu öffnen und weitere Details zu der Sicherheitslücke zu überprüfen. Dieses Widget hilft Ihnen dabei, Softwareschwachstellen im Zusammenhang mit anderen Sicherheitsproblemen zu bewerten.

**Neue Erkenntnisse im Laufe der Zeit**  
Zeigt Trends bei der Anzahl neuer täglicher Ergebnisse in den letzten 90 Tagen. Sie können die Daten nach Schweregrad oder nach Anbieter aufschlüsseln, um zusätzlichen Kontext zu erhalten. Mithilfe dieses Widgets können Sie nachvollziehen, ob das gefundene Volumen in den letzten 90 Tagen zu bestimmten Zeiten angestiegen oder gesunken ist.

**Ressourcen mit den meisten Ergebnissen**  
Bietet eine Zusammenfassung der Ressourcen, die zu den meisten Ergebnissen geführt haben, aufgeschlüsselt nach den folgenden Ressourcentypen: Amazon Simple Storage Service (Amazon S3) -Buckets, Amazon Elastic Compute Cloud (Amazon EC2) -Instances und AWS Lambda Funktionen.  
Im Widget konzentriert sich jede Registerkarte auf einen der vorherigen Ressourcentypen und listet die 10 Ressourcen-Instances auf, die die meisten Ergebnisse generiert haben. Um die Ergebnisse für eine bestimmte Ressource zu überprüfen, wählen Sie die Ressourceninstanz aus. Dieses Widget hilft Ihnen bei der Suche nach Sicherheitsergebnissen, die mit gängigen AWS Ressourcen verknüpft sind.

### Widgets sind standardmäßig ausgeblendet
<a name="widgets-hidden-default"></a>

Die folgenden Widgets sind auch für das **Übersichts-Dashboard** verfügbar, sie sind jedoch standardmäßig ausgeblendet.

**AMIs mit den meisten Ergebnissen**  
Stellt eine Liste der 10 Amazon Machine Images (AMIs) bereit, die die meisten Ergebnisse generiert haben. Diese Daten sind nur verfügbar, wenn Amazon EC2 für Ihr Konto aktiviert ist. Auf diese Weise können Sie erkennen, welche potenzielle Sicherheitsrisiken AMIs darstellen.

**IAM-Prinzipale mit den meisten Ergebnissen**  
Stellt eine Liste der 10 AWS Identity and Access Management (IAM) -Benutzer bereit, die die meisten Ergebnisse generiert haben. Dieses Widget hilft Ihnen bei der Ausführung von Verwaltungs- und Abrechnungsaufgaben. Es zeigt Ihnen, welche Benutzer am meisten zur Nutzung von Security Hub CSPM beitragen.

**Konten mit den meisten Ergebnissen (nach Schweregrad)**  
Zeigt eine grafische Darstellung der 10 Konten, die die meisten Ergebnisse generiert haben, gruppiert nach Schweregrad. Mithilfe dieses Widgets können Sie bestimmen, auf welche Konten Sie sich bei der Analyse und Problembehebung konzentrieren sollten.

**Konten mit den meisten Ergebnissen (nach Ressourcentyp)**  
Zeigt ein Diagramm der 10 Konten, die die meisten Ergebnisse generiert haben, gruppiert nach Ressourcentyp. Mit diesem Widget können Sie bestimmen, welche Konten und Ressourcentypen für die Analyse und Problembehebung priorisiert werden müssen.

**Einblicke**  
Führt fünf von [Security Hub CSPM verwaltete Erkenntnisse](securityhub-managed-insights.md) und die Anzahl der Ergebnisse auf, die sie generiert haben. Insights identifizieren einen bestimmten Sicherheitsbereich, der Aufmerksamkeit erfordert.

**Aktuelle Erkenntnisse aus AWS Integrationen**  
[Zeigt die Anzahl der Ergebnisse an, die Sie in Security Hub CSPM von integrated erhalten haben. AWS-Services](securityhub-internal-providers.md) Außerdem wird angezeigt, wann Sie zuletzt Ergebnisse von den einzelnen integrierten Diensten erhalten haben. Dieses Widget bietet konsolidierte Ergebnisdaten aus mehreren AWS-Services. Wählen Sie einen integrierten Service aus, um weitere Informationen zu erhalten. Security Hub CSPM öffnet dann die Konsole für diesen Dienst.

# Filtern des Übersichts-Dashboards in Security Hub CSPM
<a name="filters-dashboard"></a>

Sie können das **Übersichts-Dashboard** auf der Security Hub CSPM-Konsole so kuratieren, dass es nur die Sicherheitsdaten enthält, die für Sie am relevantesten sind. Wenn Sie beispielsweise Mitglied eines Anwendungsteams sind, können Sie eine spezielle Ansicht für eine kritische Anwendung in Ihrer Produktionsumgebung erstellen. Wenn Sie Mitglied eines Sicherheitsteams sind, können Sie eine spezielle Ansicht erstellen, die Ihnen hilft, sich auf Ergebnisse mit hohem Schweregrad zu konzentrieren.

Um diese kuratierten Ansichten zu erstellen, geben Sie Filterkriterien in das Filterfeld über dem Dashboard ein. Wenn Sie Filterkriterien anwenden, gelten die Kriterien für alle Daten und Widgets im Dashboard, mit Ausnahme der Daten in den Widgets **Einblicke** und **Sicherheitsstandards**. Eine Liste der verfügbaren Widgets auf dem Dashboard finden Sie unter[Verfügbare Widgets für das Übersichts-Dashboard](dashboard.md#available-widgets).

Sie können die Daten mithilfe der folgenden Felder filtern:
+ Account name (Kontoname)
+ Konto-ID
+ Anwendungs-ARN
+ Anwendungsname
+ Produktname (für ein Produkt AWS-Service oder ein Produkt eines Drittanbieters, das Ergebnisse an Security Hub CSPM sendet)
+ Record state (Datensatzstatus)
+ Region
+ Ressourcen-Tag
+ Schweregrad
+ Workflow-Status

Standardmäßig werden Dashboard-Daten anhand der folgenden Kriterien gefiltert: `Workflow.Status` ist `NOTIFIED` oder`NEW`, und `RecordState` ist. `ACTIVE` Diese Kriterien werden über dem Dashboard unter dem Filterfeld angezeigt. Um diese Kriterien zu entfernen, wählen Sie **X** im Filtertoken für die Kriterien, die Sie entfernen möchten.

Wenn Sie Filterkriterien anwenden, die Sie erneut verwenden möchten, können Sie sie als *Filtersatz* speichern. Ein Filtersatz besteht aus einer Reihe von Filterkriterien, die Sie erstellen und speichern, um sie erneut anzuwenden, wenn Sie Daten im **Übersichts-Dashboard** überprüfen. Sie können einen Filtersatz erstellen und speichern, der jedes der verfügbaren Felder mit Ausnahme der folgenden Felder verwendet: Anwendungs-ARN, Anwendungsname und Ressourcen-Tag.

## Filtersätze erstellen und speichern
<a name="save-filter-set"></a>

Gehen Sie wie folgt vor, um einen Filtersatz zu erstellen und zu speichern.

**Um einen Filtersatz zu erstellen und zu speichern**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich **Zusammenfassung** aus.

1. Geben Sie im Filterfeld über dem **Übersichts-Dashboard** die Filterkriterien für den Filtersatz ein.

1. Wählen Sie im Menü **Filter löschen** die Option **Neuen Filtersatz speichern** aus.

1. Geben **Sie im Dialogfeld Filtersatz speichern** einen Namen für den Filtersatz ein.

1. (Optional) Um den Filtersatz bei jedem Öffnen der **Übersichtsseite** standardmäßig zu verwenden, wählen Sie die Option, um ihn als Standardansicht festzulegen.

1. Wählen Sie **Speichern**.

Um zwischen den von Ihnen erstellten und gespeicherten Filtersätzen zu wechseln, verwenden Sie das Menü „**Filtersatz auswählen**“ über dem **Übersichts-Dashboard**. Wenn Sie einen Filtersatz auswählen, wendet Security Hub CSPM die Kriterien des Filtersatzes auf die Daten im Dashboard an.

## Filtersätze aktualisieren oder löschen
<a name="update-delete-filter-set"></a>

Gehen Sie wie folgt vor, um einen vorhandenen Filtersatz zu aktualisieren oder zu löschen. Wenn Sie einen Filtersatz löschen, der derzeit als Standardansicht des **Übersichts-Dashboards** eingerichtet ist, wird Ihre Standardansicht auf die Standardansicht von Security Hub CSPM zurückgesetzt.

**Um einen Filtersatz zu aktualisieren oder zu löschen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich **Zusammenfassung** aus.

1. **Wählen Sie im Menü Wählen Sie einen Filtersatz** über der **Übersichtsseite** den Filtersatz aus.

1. Führen Sie im Menü **Filter löschen** einen der folgenden Schritte aus:
   + Um den Filtersatz zu aktualisieren, wählen Sie **Aktuellen Filtersatz** aktualisieren. Geben Sie dann Ihre Änderungen in das angezeigte Dialogfeld ein.
   + Um den Filtersatz zu löschen, wählen Sie **Aktuellen Filtersatz** löschen. Wählen Sie anschließend im daraufhin angezeigten Dialogfeld die Option **Löschen**.

# Anpassen des Übersichts-Dashboards in Security Hub CSPM
<a name="customize-dashboard"></a>

Sie können das **Übersichts-Dashboard** auf der Security Hub CSPM-Konsole auf verschiedene Arten anpassen. Sie können zum Beispiel Widgets zum Dashboard hinzufügen und daraus entfernen. Sie können Widgets im Dashboard auch neu anordnen und ihre Größe ändern. Eine Liste der verfügbaren Widgets und eine Beschreibung der einzelnen Widgets finden Sie unter. [Verfügbare Widgets für das Übersichts-Dashboard](dashboard.md#available-widgets)

Wenn Sie das Dashboard anpassen, wendet Security Hub CSPM Ihre Änderungen sofort an und speichert Ihre neuen Dashboard-Einstellungen. Ihre Änderungen gelten für Ihre Ansicht des Dashboards in allen AWS-Regionen Browsern.

**So passen Sie das **Übersichts-Dashboard** an**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich **Zusammenfassung** aus.

1. Führen Sie eine der folgenden Aktionen aus:
   + Um ein Widget hinzuzufügen, wählen Sie in der oberen rechten Ecke der Seite **Widgets hinzufügen**. Geben Sie in der Suchleiste den Titel des Widgets ein, das Sie hinzufügen möchten. Ziehen Sie dann das Widget an die gewünschte Position.
   + Um ein Widget zu entfernen, wählen Sie die drei Punkte in der oberen rechten Ecke des Widgets aus.
   + Um ein Widget zu verschieben, wählen Sie den Ziehpunkt in der oberen linken Ecke des Widgets aus und ziehen Sie das Widget dann an die gewünschte Position.
   + Um die Größe eines Widgets zu ändern, wählen Sie den Ziehpunkt zur Größenänderung in der unteren rechten Ecke des Widgets. Ziehen Sie den Rand des Widgets, bis das Widget Ihre bevorzugte Größe hat.

Um anschließend die ursprünglichen Einstellungen wiederherzustellen, wählen Sie „Auf **Standardlayout zurücksetzen**“ oben auf der Seite.

# Regionale Grenzwerte für Security Hub CSPM
<a name="securityhub-regions"></a>

Einige AWS Security Hub CSPM-Funktionen sind nur in bestimmten Fällen verfügbar. AWS-Regionen In den folgenden Abschnitten werden diese regionalen Beschränkungen beschrieben. Eine vollständige Liste aller Regionen, in denen Security Hub CSPM derzeit verfügbar ist, finden Sie unter [AWS Security Hub Hub-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/sechub.html) in der. *Allgemeine AWS-Referenz*

## Regionsübergreifende Aggregationsbeschränkungen
<a name="securityhub-regions-finding-aggregation-support"></a>

In AWS GovCloud (US) Regions ist die [regionsübergreifende Aggregation](finding-aggregation.md) nur für Ergebnisse, Suchaktualisierungen und Erkenntnisse verfügbar. AWS GovCloud (US) Regions Insbesondere können Sie Ergebnisse, Aktualisierungen und Erkenntnisse nur zwischen den Regionen AWS GovCloud (USA-Ost) und AWS GovCloud (US-West) zusammenfassen.

In den China Regionen ist die regionsübergreifende Aggregation nur für Ergebnisse, Aktualisierungen und Einblicke in die Regionen China verfügbar. Insbesondere können Sie Ergebnisse, Aktualisierungen und Erkenntnisse nur zwischen den Regionen China (Peking) und China (Ningxia) zusammenfassen.

Sie können eine Region, die standardmäßig deaktiviert ist, nicht als Ihre Aggregationsregion verwenden. Eine Liste der Regionen, die standardmäßig deaktiviert sind, finden Sie im *AWS -Kontenverwaltung Referenzhandbuch* unter [AWS-Regionen In Ihrem Konto aktivieren oder deaktivieren](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable).

## Verfügbarkeit von Integrationen nach Regionen
<a name="securityhub-regions-integration-support"></a>

Einige Integrationen sind nicht in allen verfügbar. AWS-Regionen Auf der Security Hub CSPM-Konsole wird eine Integration nicht auf der Seite **Integrationen** angezeigt, wenn sie in der Region, in der Sie derzeit angemeldet sind, nicht verfügbar ist.

### Unterstützte Integrationen in den Regionen China (Peking) und China (Ningxia)
<a name="securityhub-regions-integration-support-china"></a>

[In den Regionen China (Peking) und China (Ningxia) unterstützt Security Hub CSPM nur die folgenden Integrationen mit: AWS-Services](securityhub-internal-providers.md)
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Identity and Access Management Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender
+ AWS Systems Manager Explorer
+ AWS Systems Manager OpsCenter
+ AWS Systems Manager Patch-Manager

[In den Regionen China (Peking) und China (Ningxia) unterstützt Security Hub CSPM nur die folgenden Integrationen von Drittanbietern:](securityhub-partner-providers.md)
+ Cloud Custodian
+ FireEye Helix
+ Helecloud
+ IBM QRadar
+ PagerDuty
+ Palo Alto Networks Cortex XSOAR
+ Palo Alto Networks VM-Series
+ Prowler
+ RSA Archer
+ Splunk Enterprise
+ Splunk Phantom
+ ThreatModeler

### Integrationen werden in den Regionen AWS GovCloud (USA-Ost) und (US-West) unterstützt AWS GovCloud
<a name="securityhub-regions-integration-support-govcloud"></a>

[In den Regionen AWS GovCloud (USA-Ost) und AWS GovCloud (US-West) unterstützt Security Hub CSPM nur die folgenden Integrationen mit: AWS-Services](securityhub-internal-providers.md)
+ AWS Config
+ Amazon Detective
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Health
+ IAM Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender

[In den Regionen AWS GovCloud (USA-Ost) und AWS GovCloud (US-West) unterstützt Security Hub CSPM nur die folgenden Integrationen von Drittanbietern:](securityhub-partner-providers.md)
+ Atlassian Jira Service Management
+ Atlassian Jira Service Management Cloud
+ Atlassian OpsGenie
+ Caveonix Cloud
+ Cloud Custodian
+ Cloud Storage Security Antivirus for Amazon S3
+ CrowdStrike Falcon
+ FireEye Helix
+ Forcepoint CASB
+ Forcepoint DLP
+ Forcepoint NGFW
+ Fugue
+ Kion
+ MicroFocus ArcSight
+ NETSCOUT Cyber Investigator
+ PagerDuty
+ Palo Alto Networks – Prisma Cloud Compute
+ Palo Alto Networks – Prisma Cloud Enterprise
+ Palo Alto Networks – VM-Series(nur in AWS GovCloud (US-West) verfügbar)
+ Prowler
+ Rackspace Technology – Cloud Native Security
+ Rapid7 InsightConnect
+ RSA Archer
+ ServiceNow ITSM
+ Slack
+ ThreatModeler
+ Vectra AI Cognito Detect

## Verfügbarkeit von Standards nach Regionen
<a name="securityhub-regions-standards-support"></a>

Der vom [AWS Control Tower Service verwaltete Standard](service-managed-standard-aws-control-tower.md) ist nur in den folgenden AWS-Regionen Bereichen verfügbar AWS Control Tower . Eine Liste der Regionen, die AWS Control Tower derzeit unterstützt werden, finden Sie unter [How AWS-Regionen Work With AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html) im *AWS Control Tower Benutzerhandbuch*.

Der [AWS Resource Tagging-Standard](standards-tagging.md) ist in der Region Asien-Pazifik (Taipeh) nicht verfügbar.

Andere Sicherheitsstandards sind in allen Regionen verfügbar, in denen Security Hub CSPM derzeit verfügbar ist.

## Verfügbarkeit von Kontrollen nach Regionen
<a name="securityhub-regions-control-support"></a>

Einige Security Hub CSPM-Steuerelemente sind nicht in allen verfügbar. AWS-RegionenEine Liste der Steuerelemente, die nicht in jeder Region verfügbar sind, finden Sie unter. [Regionale Beschränkungen der Security Hub CSPM-Steuerungen](regions-controls.md)

Auf der Security Hub CSPM-Konsole erscheint ein Steuerelement nicht in der Kontrollliste, wenn es in der Region, in der Sie derzeit angemeldet sind, nicht verfügbar ist. Die Ausnahme ist eine Aggregationsregion. Wenn Sie eine Aggregationsregion festlegen und sich bei dieser Region anmelden, werden in der Konsole Steuerelemente angezeigt, die in der Aggregationsregion oder einer oder mehreren verknüpften Regionen verfügbar sind.

# Regionale Beschränkungen der Security Hub CSPM-Steuerungen
<a name="regions-controls"></a>

Einige AWS Security Hub CSPM-Steuerelemente sind nicht in allen verfügbar. AWS-Regionen Auf dieser Seite wird angegeben, welche Steuerelemente in bestimmten Regionen nicht verfügbar sind.

Auf der Security Hub CSPM-Konsole erscheint ein Steuerelement nicht in der Kontrollliste, wenn es in der Region, in der Sie derzeit angemeldet sind, nicht verfügbar ist. Die Ausnahme ist eine Aggregationsregion. Wenn Sie eine Aggregationsregion festlegen und sich bei dieser Region anmelden, werden in der Konsole Steuerelemente angezeigt, die in der Aggregationsregion oder einer oder mehreren verknüpften Regionen verfügbar sind.

**Topics**
+ [

## USA Ost (Nord-Virginia)
](#securityhub-control-support-useast1)
+ [

## USA Ost (Ohio)
](#securityhub-control-support-useast2)
+ [

## USA West (Nordkalifornien)
](#securityhub-control-support-uswest1)
+ [

## USA West (Oregon)
](#securityhub-control-support-uswest2)
+ [

## Afrika (Kapstadt)
](#securityhub-control-support-afsouth1)
+ [

## Asien-Pazifik (Hongkong)
](#securityhub-control-support-apeast1)
+ [

## Asien-Pazifik (Hyderabad)
](#securityhub-control-support-apsouth2)
+ [

## Asien-Pazifik (Jakarta)
](#securityhub-control-support-apsoutheast3)
+ [

## Asien-Pazifik (Malaysia)
](#securityhub-control-support-apsoutheast5)
+ [

## Asien-Pazifik (Melbourne)
](#securityhub-control-support-apsoutheast4)
+ [

## Asien-Pazifik (Mumbai)
](#securityhub-control-support-apsouth1)
+ [

## Asien-Pazifik (Neuseeland)
](#securityhub-control-support-apsoutheast6)
+ [

## Asien-Pazifik (Osaka)
](#securityhub-control-support-apnortheast3)
+ [

## Asien-Pazifik (Seoul)
](#securityhub-control-support-apnortheast2)
+ [

## Asien-Pazifik (Singapur)
](#securityhub-control-support-apsoutheast1)
+ [

## Asien-Pazifik (Sydney)
](#securityhub-control-support-apsoutheast2)
+ [

## Asien-Pazifik (Taipeh)
](#securityhub-control-support-apeast2)
+ [

## Asien-Pazifik (Thailand)
](#securityhub-control-support-apsoutheast7)
+ [

## Asien-Pazifik (Tokio)
](#securityhub-control-support-apnortheast1)
+ [

## Kanada (Zentral)
](#securityhub-control-support-cacentral1)
+ [

## Kanada West (Calgary)
](#securityhub-control-support-cawest1)
+ [

## China (Peking)
](#securityhub-control-support-cnnorth1)
+ [

## China (Ningxia)
](#securityhub-control-support-cnnorthwest1)
+ [

## Europa (Frankfurt)
](#securityhub-control-support-eucentral1)
+ [

## Europa (Irland)
](#securityhub-control-support-euwest1)
+ [

## Europa (London)
](#securityhub-control-support-euwest2)
+ [

## Europa (Milan)
](#securityhub-control-support-eusouth1)
+ [

## Europa (Paris)
](#securityhub-control-support-euwest3)
+ [

## Europa (Spain)
](#securityhub-control-support-eusouth2)
+ [

## Europa (Stockholm)
](#securityhub-control-support-eunorth1)
+ [

## Europa (Zürich)
](#securityhub-control-support-eucentral2)
+ [

## Israel (Tel Aviv)
](#securityhub-control-support-ilcentral1)
+ [

## Mexiko (Zentral)
](#securityhub-control-support-mxcentral1)
+ [

## Middle East (Bahrain)
](#securityhub-control-support-mesouth1)
+ [

## Naher Osten (VAE)
](#securityhub-control-support-mecentral1)
+ [

## Südamerika (São Paulo)
](#securityhub-control-support-saeast1)
+ [

## AWS GovCloud (US-Ost)
](#securityhub-control-support-usgoveast1)
+ [

## AWS GovCloud (US-West)
](#securityhub-control-support-usgovwest1)

## USA Ost (Nord-Virginia)
<a name="securityhub-control-support-useast1"></a>

Die folgenden Steuerelemente werden in der Region USA Ost (Nord-Virginia) nicht unterstützt.
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 

## USA Ost (Ohio)
<a name="securityhub-control-support-useast2"></a>

Die folgenden Steuerelemente werden in der Region USA Ost (Ohio) nicht unterstützt.
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## USA West (Nordkalifornien)
<a name="securityhub-control-support-uswest1"></a>

Die folgenden Steuerelemente werden in der Region USA West (Nordkalifornien) nicht unterstützt.
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.47] RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-47) 
+  [[RDS.48] RDS für MySQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-48) 
+  [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## USA West (Oregon)
<a name="securityhub-control-support-uswest2"></a>

Die folgenden Steuerelemente werden in der Region USA West (Oregon) nicht unterstützt.
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

## Afrika (Kapstadt)
<a name="securityhub-control-support-afsouth1"></a>

Die folgenden Steuerelemente werden in der Region Afrika (Kapstadt) nicht unterstützt.
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](es-controls.md#es-3) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

## Asien-Pazifik (Hongkong)
<a name="securityhub-control-support-apeast1"></a>

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Hongkong) nicht unterstützt.
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SES.1] SES-Kontaktlisten sollten mit Tags versehen werden](ses-controls.md#ses-1) 
+  [[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden](ses-controls.md#ses-2) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Asien-Pazifik (Hyderabad)
<a name="securityhub-control-support-apsouth2"></a>

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Hyderabad) nicht unterstützt.
+  [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3) 
+  [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4) 
+  [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2-NAT-Gateways sollten markiert werden](ec2-controls.md#ec2-40) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ-Broker sollten markiert werden](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein](msk-controls.md#msk-4) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Asien-Pazifik (Jakarta)
<a name="securityhub-control-support-apsoutheast3"></a>

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Jakarta) nicht unterstützt.
+  [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3) 
+  [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4) 
+  [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Asien-Pazifik (Malaysia)
<a name="securityhub-control-support-apsoutheast5"></a>

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Malaysia) nicht unterstützt.
+  [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1) 
+  [[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2) 
+  [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1) 
+  [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten markiert werden](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden](backup-controls.md#backup-2) 
+  [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4) 
+  [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1) 
+  [[Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein](batch-controls.md#batch-2) 
+  [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3) 
+  [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4) 
+  [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Event-Datenspeicher in CloudTrail Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben](cognito-controls.md#cognito-3) 
+  [[Cognito.4] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein](cognito-controls.md#cognito-5) 
+  [[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein](cognito-controls.md#cognito-6) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] Für DataSync Aufgaben sollte die Protokollierung aktiviert sein](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden](datasync-controls.md#datasync-2) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3) 
+  [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4) 
+  [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden](ec2-controls.md#ec2-28) 
+  [[EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2-NAT-Gateways sollten markiert werden](ec2-controls.md#ec2-40) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+  [[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53) 
+  [[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein](ec2-controls.md#ec2-171) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2-DHCP-Optionssätze sollten markiert werden](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2-Präfixlisten sollten mit Tags versehen werden](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 
+  [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 
+  [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 
+  [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) 
+  [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9) 
+  [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12) 
+  [[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden](ecs-controls.md#ecs-17) 
+  [[ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben](ecs-controls.md#ecs-19) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 
+  [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 
+  [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) 
+  [[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein](efs-controls.md#efs-7) 
+  [[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8) 
+  [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 
+  [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3) 
+  [[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden](eks-controls.md#eks-7) 
+  [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12) 
+  [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[ES.9] Elasticsearch-Domains sollten markiert werden](es-controls.md#es-9) 
+  [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert werden](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx für Windows-Dateiserver sollten für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] AWS Glue Jobs sollten markiert werden](glue-controls.md#glue-1) 
+  [[Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden](glue-controls.md#glue-3) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10) 
+  [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11) 
+  [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12) 
+  [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13) 
+  [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14) 
+  [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15) 
+  [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16) 
+  [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28) 
+  [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ-Broker sollten markiert werden](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 
+  [[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein](msk-controls.md#msk-4) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 
+  [[PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden](pca-controls.md#pca-2) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden](rds-controls.md#rds-18) 
+  [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 
+  [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 
+  [[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden](rds-controls.md#rds-26) 
+  [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-38) 
+  [[RDS.39] RDS für MySQL-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-39) 
+  [[RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-41) 
+  [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern](rds-controls.md#rds-43) 
+  [[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden](rds-controls.md#rds-44) 
+  [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 
+  [[RDS.46] RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden](rds-controls.md#rds-46) 
+  [[RDS.47] RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-47) 
+  [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7) 
+  [[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-10) 
+  [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11) 
+  [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12) 
+  [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) 
+  [[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19) 
+  [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20) 
+  [[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22) 
+  [[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen](sns-controls.md#sns-4) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 
+  [[SSM.5] SSM-Dokumente sollten mit Tags versehen werden](ssm-controls.md#ssm-5) 
+  [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Steckverbinder der Transfer-Familie sollten gekennzeichnet sein](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Familienprofile sollten mit Tags versehen werden](transfer-controls.md#transfer-7) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Asien-Pazifik (Melbourne)
<a name="securityhub-control-support-apsoutheast4"></a>

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Melbourne) nicht unterstützt.
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1) 
+  [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3) 
+  [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4) 
+  [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3) 
+  [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4) 
+  [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2-NAT-Gateways sollten markiert werden](ec2-controls.md#ec2-40) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 
+  [[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert werden](fsx-controls.md#fsx-3) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10) 
+  [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11) 
+  [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12) 
+  [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13) 
+  [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14) 
+  [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15) 
+  [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16) 
+  [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES-Kontaktlisten sollten mit Tags versehen werden](ses-controls.md#ses-1) 
+  [[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden](ses-controls.md#ses-2) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 
+  [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Asien-Pazifik (Mumbai)
<a name="securityhub-control-support-apsouth1"></a>

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Mumbai) nicht unterstützt.
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

## Asien-Pazifik (Neuseeland)
<a name="securityhub-control-support-apsoutheast6"></a>

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Neuseeland) nicht unterstützt.
+  [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1) 
+  [[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2) 
+  [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1) 
+  [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten markiert werden](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden](athena-controls.md#athena-2) 
+  [[Athena.3] Athena-Arbeitsgruppen sollten markiert werden](athena-controls.md#athena-3) 
+  [[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden](backup-controls.md#backup-2) 
+  [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4) 
+  [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1) 
+  [[Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein](batch-controls.md#batch-2) 
+  [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3) 
+  [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4) 
+  [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Event-Datenspeicher in CloudTrail Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben](cognito-controls.md#cognito-3) 
+  [[Cognito.4] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein](cognito-controls.md#cognito-5) 
+  [[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein](cognito-controls.md#cognito-6) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] Für DataSync Aufgaben sollte die Protokollierung aktiviert sein](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden](datasync-controls.md#datasync-2) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3) 
+  [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4) 
+  [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden](ec2-controls.md#ec2-28) 
+  [[EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2-NAT-Gateways sollten markiert werden](ec2-controls.md#ec2-40) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+  [[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53) 
+  [[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein](ec2-controls.md#ec2-171) 
+  [[EC2.172] Die EC2 VPC Block Public Access-Einstellungen sollten den Internet-Gateway-Verkehr blockieren](ec2-controls.md#ec2-172) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2-DHCP-Optionssätze sollten markiert werden](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2-Präfixlisten sollten mit Tags versehen werden](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 
+  [[EC2.182] Amazon EBS-Snapshots sollten nicht öffentlich zugänglich sein](ec2-controls.md#ec2-182) 
+  [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 
+  [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 
+  [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) 
+  [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9) 
+  [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12) 
+  [[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ecs-controls.md#ecs-16) 
+  [[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden](ecs-controls.md#ecs-17) 
+  [[ECS.18] ECS-Aufgabendefinitionen sollten die Verschlüsselung während der Übertragung für EFS-Volumes verwenden](ecs-controls.md#ecs-18) 
+  [[ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben](ecs-controls.md#ecs-19) 
+  [[ECS.20] ECS-Aufgabendefinitionen sollten Benutzer, die keine Root-Benutzer sind, in Linux-Container-Definitionen konfigurieren](ecs-controls.md#ecs-20) 
+  [[ECS.21] ECS-Aufgabendefinitionen sollten Benutzer ohne Administratorrechte in Windows-Containerdefinitionen konfigurieren](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 
+  [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 
+  [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) 
+  [[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein](efs-controls.md#efs-7) 
+  [[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8) 
+  [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 
+  [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3) 
+  [[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden](eks-controls.md#eks-7) 
+  [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 
+  [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12) 
+  [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 
+  [[ELB.21] Zielgruppen für Anwendungen und Network Load Balancer sollten verschlüsselte Health Check-Protokolle verwenden](elb-controls.md#elb-21) 
+  [[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden](elb-controls.md#elb-22) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 
+  [[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](es-controls.md#es-3) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[ES.9] Elasticsearch-Domains sollten markiert werden](es-controls.md#es-9) 
+  [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert werden](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx für Windows-Dateiserver sollten für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] AWS Glue Jobs sollten markiert werden](glue-controls.md#glue-1) 
+  [[Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden](glue-controls.md#glue-3) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets sollte markiert werden](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty Detektoren sollten markiert werden](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10) 
+  [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11) 
+  [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12) 
+  [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13) 
+  [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14) 
+  [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15) 
+  [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16) 
+  [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28) 
+  [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ-Broker sollten markiert werden](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 
+  [[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein](msk-controls.md#msk-4) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 
+  [[PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden](pca-controls.md#pca-2) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden](rds-controls.md#rds-18) 
+  [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 
+  [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 
+  [[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden](rds-controls.md#rds-26) 
+  [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-38) 
+  [[RDS.39] RDS für MySQL-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-39) 
+  [[RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-41) 
+  [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern](rds-controls.md#rds-43) 
+  [[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden](rds-controls.md#rds-44) 
+  [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 
+  [[RDS.46] RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden](rds-controls.md#rds-46) 
+  [[RDS.47] RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-47) 
+  [[RDS.48] RDS für MySQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-48) 
+  [[RDS.50] Für RDS-DB-Cluster sollte ein ausreichender Aufbewahrungszeitraum für Backups festgelegt sein](rds-controls.md#rds-50) 
+  [[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1) 
+  [[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Redshift-Cluster sollten markiert werden](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden](redshift-controls.md#redshift-13) 
+  [[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7) 
+  [[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-10) 
+  [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11) 
+  [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12) 
+  [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) 
+  [[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19) 
+  [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20) 
+  [[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22) 
+  [[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES-Kontaktlisten sollten mit Tags versehen werden](ses-controls.md#ses-1) 
+  [[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden](ses-controls.md#ses-2) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen](sns-controls.md#sns-4) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2) 
+  [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3) 
+  [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 
+  [[SSM.5] SSM-Dokumente sollten mit Tags versehen werden](ssm-controls.md#ssm-5) 
+  [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Steckverbinder der Transfer-Familie sollten gekennzeichnet sein](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Familienprofile sollten mit Tags versehen werden](transfer-controls.md#transfer-7) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [[WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-11) 
+  [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Asien-Pazifik (Osaka)
<a name="securityhub-control-support-apnortheast3"></a>

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Osaka) nicht unterstützt.
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2) 
+  [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Asien-Pazifik (Seoul)
<a name="securityhub-control-support-apnortheast2"></a>

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Seoul) nicht unterstützt.
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

## Asien-Pazifik (Singapur)
<a name="securityhub-control-support-apsoutheast1"></a>

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Singapur) nicht unterstützt.
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

## Asien-Pazifik (Sydney)
<a name="securityhub-control-support-apsoutheast2"></a>

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Sydney) nicht unterstützt.
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

## Asien-Pazifik (Taipeh)
<a name="securityhub-control-support-apeast2"></a>

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Taipeh) nicht unterstützt.
+  [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1) 
+  [[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2) 
+  [[ACM.3] ACM-Zertifikate sollten mit einem Tag versehen werden](acm-controls.md#acm-3) 
+  [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1) 
+  [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten markiert werden](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden](athena-controls.md#athena-2) 
+  [[Athena.3] Athena-Arbeitsgruppen sollten markiert werden](athena-controls.md#athena-3) 
+  [[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein](athena-controls.md#athena-4) 
+  [[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9) 
+  [[AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden](autoscaling-controls.md#autoscaling-10) 
+  [[Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben](autoscaling-controls.md#autoscaling-5) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden](backup-controls.md#backup-2) 
+  [[Backup.3] AWS Backup Tresore sollten markiert sein](backup-controls.md#backup-3) 
+  [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4) 
+  [[Backup.5] AWS Backup Backup-Pläne sollten markiert werden](backup-controls.md#backup-5) 
+  [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1) 
+  [[Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein](batch-controls.md#batch-2) 
+  [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3) 
+  [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4) 
+  [[CloudFormation.2] CloudFormation Stapel sollten markiert werden](cloudformation-controls.md#cloudformation-2) 
+  [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.9] CloudTrail Wege sollten markiert werden](cloudtrail-controls.md#cloudtrail-9) 
+  [[CloudTrail.10] Event-Datenspeicher in CloudTrail Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben](cognito-controls.md#cognito-3) 
+  [[Cognito.4] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein](cognito-controls.md#cognito-5) 
+  [[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein](cognito-controls.md#cognito-6) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] Für DataSync Aufgaben sollte die Protokollierung aktiviert sein](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden](datasync-controls.md#datasync-2) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3) 
+  [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4) 
+  [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden](dynamodb-controls.md#dynamodb-5) 
+  [[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon EC2-Service erstellt wurden](ec2-controls.md#ec2-10) 
+  [[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen](ec2-controls.md#ec2-19) 
+  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden](ec2-controls.md#ec2-28) 
+  [[EC2.33] EC2 Transit Gateway-Anhänge sollten markiert werden](ec2-controls.md#ec2-33) 
+  [[EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-34) 
+  [[EC2.35] EC2-Netzwerkschnittstellen sollten markiert werden](ec2-controls.md#ec2-35) 
+  [[EC2.36] EC2-Kunden-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-36) 
+  [[EC2.37] EC2-Elastic-IP-Adressen sollten mit Tags versehen werden](ec2-controls.md#ec2-37) 
+  [[EC2.38] EC2-Instances sollten markiert werden](ec2-controls.md#ec2-38) 
+  [[EC2.39] EC2-Internet-Gateways sollten markiert werden](ec2-controls.md#ec2-39) 
+  [[EC2.40] EC2-NAT-Gateways sollten markiert werden](ec2-controls.md#ec2-40) 
+  [[EC2.41] Das EC2-Netzwerk sollte markiert werden ACLs](ec2-controls.md#ec2-41) 
+  [[EC2.42] EC2-Routing-Tabellen sollten mit Tags versehen werden](ec2-controls.md#ec2-42) 
+  [[EC2.43] EC2-Sicherheitsgruppen sollten markiert werden](ec2-controls.md#ec2-43) 
+  [[EC2.44] EC2-Subnetze sollten markiert werden](ec2-controls.md#ec2-44) 
+  [[EC2.45] EC2-Volumes sollten markiert werden](ec2-controls.md#ec2-45) 
+  [[EC2.46] Amazon VPCs sollte markiert werden](ec2-controls.md#ec2-46) 
+  [[EC2.47] Amazon VPC Endpoint Services sollten markiert werden](ec2-controls.md#ec2-47) 
+  [[EC2.48] Amazon VPC-Flow-Logs sollten markiert werden](ec2-controls.md#ec2-48) 
+  [[EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden](ec2-controls.md#ec2-49) 
+  [[EC2.50] EC2-VPN-Gateways sollten markiert werden](ec2-controls.md#ec2-50) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+  [[EC2.52] EC2-Transit-Gateways sollten markiert werden](ec2-controls.md#ec2-52) 
+  [[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53) 
+  [[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein](ec2-controls.md#ec2-171) 
+  [[EC2.172] Die EC2 VPC Block Public Access-Einstellungen sollten den Internet-Gateway-Verkehr blockieren](ec2-controls.md#ec2-172) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2-DHCP-Optionssätze sollten markiert werden](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2-Präfixlisten sollten mit Tags versehen werden](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 
+  [[EC2.182] Amazon EBS-Snapshots sollten nicht öffentlich zugänglich sein](ec2-controls.md#ec2-182) 
+  [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 
+  [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 
+  [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten](ecs-controls.md#ecs-1) 
+  [[ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden](ecs-controls.md#ecs-2) 
+  [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) 
+  [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9) 
+  [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12) 
+  [[ECS.13] ECS-Services sollten markiert werden](ecs-controls.md#ecs-13) 
+  [[ECS.14] ECS-Cluster sollten markiert werden](ecs-controls.md#ecs-14) 
+  [[ECS.15] ECS-Aufgabendefinitionen sollten mit Tags versehen werden](ecs-controls.md#ecs-15) 
+  [[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ecs-controls.md#ecs-16) 
+  [[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden](ecs-controls.md#ecs-17) 
+  [[ECS.18] ECS-Aufgabendefinitionen sollten die Verschlüsselung während der Übertragung für EFS-Volumes verwenden](ecs-controls.md#ecs-18) 
+  [[ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben](ecs-controls.md#ecs-19) 
+  [[ECS.20] ECS-Aufgabendefinitionen sollten Benutzer, die keine Root-Benutzer sind, in Linux-Container-Definitionen konfigurieren](ecs-controls.md#ecs-20) 
+  [[ECS.21] ECS-Aufgabendefinitionen sollten Benutzer ohne Administratorrechte in Windows-Containerdefinitionen konfigurieren](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 
+  [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 
+  [[EFS.5] EFS-Zugangspunkte sollten markiert werden](efs-controls.md#efs-5) 
+  [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) 
+  [[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein](efs-controls.md#efs-7) 
+  [[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8) 
+  [[EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein](eks-controls.md#eks-1) 
+  [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 
+  [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3) 
+  [[EKS.6] EKS-Cluster sollten markiert werden](eks-controls.md#eks-6) 
+  [[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden](eks-controls.md#eks-7) 
+  [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 
+  [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden](elb-controls.md#elb-3) 
+  [[ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein](elb-controls.md#elb-7) 
+  [[ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config](elb-controls.md#elb-8) 
+  [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12) 
+  [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 
+  [[ELB.21] Zielgruppen für Anwendungen und Network Load Balancer sollten verschlüsselte Health Check-Protokolle verwenden](elb-controls.md#elb-21) 
+  [[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden](elb-controls.md#elb-22) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 
+  [[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](es-controls.md#es-1) 
+  [[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2) 
+  [[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](es-controls.md#es-3) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein](es-controls.md#es-5) 
+  [[ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben](es-controls.md#es-6) 
+  [[ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden](es-controls.md#es-7) 
+  [[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](es-controls.md#es-8) 
+  [[ES.9] Elasticsearch-Domains sollten markiert werden](es-controls.md#es-9) 
+  [[EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein](eventbridge-controls.md#eventbridge-2) 
+  [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert werden](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx für Windows-Dateiserver sollten für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] AWS Glue Jobs sollten markiert werden](glue-controls.md#glue-1) 
+  [[Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden](glue-controls.md#glue-3) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets sollte markiert werden](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty Detektoren sollten markiert werden](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10) 
+  [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11) 
+  [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12) 
+  [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13) 
+  [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14) 
+  [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15) 
+  [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16) 
+  [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 
+  [[IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden](iam-controls.md#iam-23) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28) 
+  [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.2] Kinesis-Streams sollten markiert werden](kinesis-controls.md#kinesis-2) 
+  [[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden](kms-controls.md#kms-3) 
+  [[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 
+  [[Lambda.6] Lambda-Funktionen sollten markiert werden](lambda-controls.md#lambda-6) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ-Broker sollten markiert werden](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 
+  [[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein](msk-controls.md#msk-4) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden](networkfirewall-controls.md#networkfirewall-7) 
+  [[NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden](networkfirewall-controls.md#networkfirewall-8) 
+  [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 
+  [[PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden](pca-controls.md#pca-2) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.16] Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren](rds-controls.md#rds-16) 
+  [[RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](rds-controls.md#rds-17) 
+  [[RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden](rds-controls.md#rds-18) 
+  [[RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden](rds-controls.md#rds-19) 
+  [[RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden](rds-controls.md#rds-20) 
+  [[RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden](rds-controls.md#rds-21) 
+  [[RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden](rds-controls.md#rds-22) 
+  [[RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden](rds-controls.md#rds-23) 
+  [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 
+  [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 
+  [[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden](rds-controls.md#rds-26) 
+  [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 
+  [[RDS.28] RDS-DB-Cluster sollten markiert werden](rds-controls.md#rds-28) 
+  [[RDS.29] RDS-DB-Cluster-Snapshots sollten mit Tags versehen werden](rds-controls.md#rds-29) 
+  [[RDS.30] RDS-DB-Instances sollten markiert werden](rds-controls.md#rds-30) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.32] RDS-DB-Snapshots sollten markiert werden](rds-controls.md#rds-32) 
+  [[RDS.33] RDS-DB-Subnetzgruppen sollten markiert werden](rds-controls.md#rds-33) 
+  [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-38) 
+  [[RDS.39] RDS für MySQL-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-39) 
+  [[RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-41) 
+  [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern](rds-controls.md#rds-43) 
+  [[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden](rds-controls.md#rds-44) 
+  [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 
+  [[RDS.46] RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden](rds-controls.md#rds-46) 
+  [[RDS.47] RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-47) 
+  [[RDS.48] RDS für MySQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-48) 
+  [[RDS.50] Für RDS-DB-Cluster sollte ein ausreichender Aufbewahrungszeitraum für Backups festgelegt sein](rds-controls.md#rds-50) 
+  [[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Redshift-Cluster sollten markiert werden](redshift-controls.md#redshift-11) 
+  [[Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden](redshift-controls.md#redshift-12) 
+  [[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden](redshift-controls.md#redshift-13) 
+  [[Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden](redshift-controls.md#redshift-14) 
+  [[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7) 
+  [[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-10) 
+  [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11) 
+  [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12) 
+  [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) 
+  [[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19) 
+  [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20) 
+  [[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22) 
+  [[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES-Kontaktlisten sollten mit Tags versehen werden](ses-controls.md#ses-1) 
+  [[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden](ses-controls.md#ses-2) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden](secretsmanager-controls.md#secretsmanager-4) 
+  [[SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden](secretsmanager-controls.md#secretsmanager-5) 
+  [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.3] SNS-Themen sollten markiert werden](sns-controls.md#sns-3) 
+  [[SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen](sns-controls.md#sns-4) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2) 
+  [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3) 
+  [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 
+  [[SSM.5] SSM-Dokumente sollten mit Tags versehen werden](ssm-controls.md#ssm-5) 
+  [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Die Aktivitäten von Step Functions sollten markiert werden](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Steckverbinder der Transfer-Familie sollten gekennzeichnet sein](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Familienprofile sollten mit Tags versehen werden](transfer-controls.md#transfer-7) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [[WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-11) 
+  [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Asien-Pazifik (Thailand)
<a name="securityhub-control-support-apsoutheast7"></a>

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Thailand) nicht unterstützt.
+  [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1) 
+  [[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2) 
+  [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1) 
+  [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten markiert werden](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden](athena-controls.md#athena-2) 
+  [[Athena.3] Athena-Arbeitsgruppen sollten markiert werden](athena-controls.md#athena-3) 
+  [[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden](backup-controls.md#backup-2) 
+  [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4) 
+  [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1) 
+  [[Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein](batch-controls.md#batch-2) 
+  [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3) 
+  [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4) 
+  [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Event-Datenspeicher in CloudTrail Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben](cognito-controls.md#cognito-3) 
+  [[Cognito.4] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein](cognito-controls.md#cognito-5) 
+  [[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein](cognito-controls.md#cognito-6) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] Für DataSync Aufgaben sollte die Protokollierung aktiviert sein](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden](datasync-controls.md#datasync-2) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3) 
+  [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4) 
+  [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden](ec2-controls.md#ec2-28) 
+  [[EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2-NAT-Gateways sollten markiert werden](ec2-controls.md#ec2-40) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+  [[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53) 
+  [[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein](ec2-controls.md#ec2-171) 
+  [[EC2.172] Die EC2 VPC Block Public Access-Einstellungen sollten den Internet-Gateway-Verkehr blockieren](ec2-controls.md#ec2-172) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2-DHCP-Optionssätze sollten markiert werden](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2-Präfixlisten sollten mit Tags versehen werden](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 
+  [[EC2.182] Amazon EBS-Snapshots sollten nicht öffentlich zugänglich sein](ec2-controls.md#ec2-182) 
+  [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 
+  [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 
+  [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) 
+  [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9) 
+  [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12) 
+  [[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ecs-controls.md#ecs-16) 
+  [[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden](ecs-controls.md#ecs-17) 
+  [[ECS.18] ECS-Aufgabendefinitionen sollten die Verschlüsselung während der Übertragung für EFS-Volumes verwenden](ecs-controls.md#ecs-18) 
+  [[ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben](ecs-controls.md#ecs-19) 
+  [[ECS.20] ECS-Aufgabendefinitionen sollten Benutzer, die keine Root-Benutzer sind, in Linux-Container-Definitionen konfigurieren](ecs-controls.md#ecs-20) 
+  [[ECS.21] ECS-Aufgabendefinitionen sollten Benutzer ohne Administratorrechte in Windows-Containerdefinitionen konfigurieren](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 
+  [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 
+  [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) 
+  [[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein](efs-controls.md#efs-7) 
+  [[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8) 
+  [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 
+  [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3) 
+  [[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden](eks-controls.md#eks-7) 
+  [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12) 
+  [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[ES.9] Elasticsearch-Domains sollten markiert werden](es-controls.md#es-9) 
+  [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert werden](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx für Windows-Dateiserver sollten für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] AWS Glue Jobs sollten markiert werden](glue-controls.md#glue-1) 
+  [[Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden](glue-controls.md#glue-3) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10) 
+  [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11) 
+  [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12) 
+  [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13) 
+  [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14) 
+  [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15) 
+  [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16) 
+  [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28) 
+  [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ-Broker sollten markiert werden](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 
+  [[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein](msk-controls.md#msk-4) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 
+  [[PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden](pca-controls.md#pca-2) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden](rds-controls.md#rds-18) 
+  [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 
+  [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 
+  [[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden](rds-controls.md#rds-26) 
+  [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-38) 
+  [[RDS.39] RDS für MySQL-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-39) 
+  [[RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-41) 
+  [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern](rds-controls.md#rds-43) 
+  [[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden](rds-controls.md#rds-44) 
+  [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 
+  [[RDS.46] RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden](rds-controls.md#rds-46) 
+  [[RDS.47] RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-47) 
+  [[RDS.48] RDS für MySQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-48) 
+  [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7) 
+  [[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-10) 
+  [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11) 
+  [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12) 
+  [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) 
+  [[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19) 
+  [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20) 
+  [[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22) 
+  [[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES-Kontaktlisten sollten mit Tags versehen werden](ses-controls.md#ses-1) 
+  [[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden](ses-controls.md#ses-2) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen](sns-controls.md#sns-4) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3) 
+  [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 
+  [[SSM.5] SSM-Dokumente sollten mit Tags versehen werden](ssm-controls.md#ssm-5) 
+  [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Steckverbinder der Transfer-Familie sollten gekennzeichnet sein](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Familienprofile sollten mit Tags versehen werden](transfer-controls.md#transfer-7) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Asien-Pazifik (Tokio)
<a name="securityhub-control-support-apnortheast1"></a>

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Tokio) nicht unterstützt.
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

## Kanada (Zentral)
<a name="securityhub-control-support-cacentral1"></a>

Die folgenden Steuerelemente werden in der Region Kanada (Mitte) nicht unterstützt.
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen](kinesis-controls.md#kinesis-3) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

## Kanada West (Calgary)
<a name="securityhub-control-support-cawest1"></a>

Die folgenden Steuerelemente werden in der Region Kanada West (Calgary) nicht unterstützt.
+  [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1) 
+  [[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2) 
+  [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1) 
+  [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten markiert werden](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4) 
+  [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1) 
+  [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3) 
+  [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4) 
+  [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Event-Datenspeicher in CloudTrail Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] Für DataSync Aufgaben sollte die Protokollierung aktiviert sein](datasync-controls.md#datasync-1) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3) 
+  [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4) 
+  [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden](ec2-controls.md#ec2-28) 
+  [[EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2-NAT-Gateways sollten markiert werden](ec2-controls.md#ec2-40) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+  [[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53) 
+  [[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein](ec2-controls.md#ec2-171) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 
+  [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 
+  [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 
+  [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) 
+  [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9) 
+  [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12) 
+  [[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ecs-controls.md#ecs-16) 
+  [[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden](ecs-controls.md#ecs-17) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 
+  [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 
+  [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) 
+  [[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein](efs-controls.md#efs-7) 
+  [[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8) 
+  [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 
+  [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3) 
+  [[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden](eks-controls.md#eks-7) 
+  [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 
+  [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12) 
+  [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert werden](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx für Windows-Dateiserver sollten für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden](glue-controls.md#glue-3) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10) 
+  [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11) 
+  [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12) 
+  [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13) 
+  [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14) 
+  [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15) 
+  [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16) 
+  [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28) 
+  [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ-Broker sollten markiert werden](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 
+  [[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein](msk-controls.md#msk-4) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden](rds-controls.md#rds-18) 
+  [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 
+  [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 
+  [[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden](rds-controls.md#rds-26) 
+  [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-38) 
+  [[RDS.39] RDS für MySQL-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-39) 
+  [[RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-41) 
+  [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern](rds-controls.md#rds-43) 
+  [[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden](rds-controls.md#rds-44) 
+  [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 
+  [[RDS.46] RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden](rds-controls.md#rds-46) 
+  [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben](redshift-controls.md#redshift-16) 
+  [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7) 
+  [[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-10) 
+  [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11) 
+  [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12) 
+  [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) 
+  [[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19) 
+  [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20) 
+  [[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22) 
+  [[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen](sns-controls.md#sns-4) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 
+  [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## China (Peking)
<a name="securityhub-control-support-cnnorth1"></a>

Die folgenden Steuerelemente werden in der Region China (Peking) nicht unterstützt.
+  [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1) 
+  [[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2) 
+  [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten markiert werden](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4) 
+  [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1) 
+  [[Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein](batch-controls.md#batch-2) 
+  [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3) 
+  [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Event-Datenspeicher in CloudTrail Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben](cognito-controls.md#cognito-3) 
+  [[Cognito.4] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein](cognito-controls.md#cognito-5) 
+  [[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein](cognito-controls.md#cognito-6) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden](datasync-controls.md#datasync-2) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein](ec2-controls.md#ec2-20) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden](ec2-controls.md#ec2-28) 
+  [[EC2.36] EC2-Kunden-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-36) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+  [[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53) 
+  [[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein](ec2-controls.md#ec2-171) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2-DHCP-Optionssätze sollten markiert werden](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2-Präfixlisten sollten mit Tags versehen werden](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) 
+  [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3) 
+  [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.21] Zielgruppen für Anwendungen und Network Load Balancer sollten verschlüsselte Health Check-Protokolle verwenden](elb-controls.md#elb-21) 
+  [[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden](elb-controls.md#elb-22) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx für Windows-Dateiserver sollten für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.3] GuardDuty IPSets sollte markiert werden](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty Detektoren sollten markiert werden](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden](iam-controls.md#iam-23) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28) 
+  [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 
+  [[PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden](pca-controls.md#pca-2) 
+  [[RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein](rds-controls.md#rds-7) 
+  [[RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden](rds-controls.md#rds-12) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15) 
+  [[RDS.16] Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren](rds-controls.md#rds-16) 
+  [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 
+  [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 
+  [[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden](rds-controls.md#rds-26) 
+  [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 
+  [[RDS.28] RDS-DB-Cluster sollten markiert werden](rds-controls.md#rds-28) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern](rds-controls.md#rds-43) 
+  [[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden](rds-controls.md#rds-44) 
+  [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 
+  [[RDS.47] RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-47) 
+  [[RDS.48] RDS für MySQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-48) 
+  [[RDS.50] Für RDS-DB-Cluster sollte ein ausreichender Aufbewahrungszeitraum für Backups festgelegt sein](rds-controls.md#rds-50) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen](redshift-controls.md#redshift-15) 
+  [[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22) 
+  [[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES-Kontaktlisten sollten mit Tags versehen werden](ses-controls.md#ses-1) 
+  [[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden](ses-controls.md#ses-2) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] SSM-Dokumente sollten mit Tags versehen werden](ssm-controls.md#ssm-5) 
+  [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 
+  [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Steckverbinder der Transfer-Familie sollten gekennzeichnet sein](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Familienprofile sollten mit Tags versehen werden](transfer-controls.md#transfer-7) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## China (Ningxia)
<a name="securityhub-control-support-cnnorthwest1"></a>

Die folgenden Steuerelemente werden in der Region China (Ningxia) nicht unterstützt.
+  [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1) 
+  [[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2) 
+  [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten markiert werden](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4) 
+  [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1) 
+  [[Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein](batch-controls.md#batch-2) 
+  [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3) 
+  [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Event-Datenspeicher in CloudTrail Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben](cognito-controls.md#cognito-3) 
+  [[Cognito.4] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein](cognito-controls.md#cognito-5) 
+  [[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein](cognito-controls.md#cognito-6) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden](datasync-controls.md#datasync-2) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein](ec2-controls.md#ec2-20) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden](ec2-controls.md#ec2-28) 
+  [[EC2.36] EC2-Kunden-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-36) 
+  [[EC2.50] EC2-VPN-Gateways sollten markiert werden](ec2-controls.md#ec2-50) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein](ec2-controls.md#ec2-171) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2-DHCP-Optionssätze sollten markiert werden](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2-Präfixlisten sollten mit Tags versehen werden](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 
+  [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 
+  [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) 
+  [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3) 
+  [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.21] Zielgruppen für Anwendungen und Network Load Balancer sollten verschlüsselte Health Check-Protokolle verwenden](elb-controls.md#elb-21) 
+  [[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden](elb-controls.md#elb-22) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx für Windows-Dateiserver sollten für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden](glue-controls.md#glue-3) 
+  [[GuardDuty.3] GuardDuty IPSets sollte markiert werden](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty Detektoren sollten markiert werden](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden](iam-controls.md#iam-23) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28) 
+  [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Lambda-Funktionen sollten sich in einer VPC befinden](lambda-controls.md#lambda-3) 
+  [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 
+  [[Lambda.6] Lambda-Funktionen sollten markiert werden](lambda-controls.md#lambda-6) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 
+  [[PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden](pca-controls.md#pca-2) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 
+  [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 
+  [[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden](rds-controls.md#rds-26) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern](rds-controls.md#rds-43) 
+  [[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden](rds-controls.md#rds-44) 
+  [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 
+  [[RDS.50] Für RDS-DB-Cluster sollte ein ausreichender Aufbewahrungszeitraum für Backups festgelegt sein](rds-controls.md#rds-50) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen](redshift-controls.md#redshift-15) 
+  [[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] SSM-Dokumente sollten mit Tags versehen werden](ssm-controls.md#ssm-5) 
+  [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 
+  [[StepFunctions.2] Die Aktivitäten von Step Functions sollten markiert werden](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Steckverbinder der Transfer-Familie sollten gekennzeichnet sein](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Familienprofile sollten mit Tags versehen werden](transfer-controls.md#transfer-7) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

## Europa (Frankfurt)
<a name="securityhub-control-support-eucentral1"></a>

Die folgenden Steuerelemente werden in der Region Europa (Frankfurt) nicht unterstützt.
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

## Europa (Irland)
<a name="securityhub-control-support-euwest1"></a>

Die folgenden Steuerelemente werden in der Region Europa (Irland) nicht unterstützt.
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

## Europa (London)
<a name="securityhub-control-support-euwest2"></a>

Die folgenden Steuerelemente werden in der Region Europa (London) nicht unterstützt.
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

## Europa (Milan)
<a name="securityhub-control-support-eusouth1"></a>

Die folgenden Steuerelemente werden in der Region Europa (Mailand) nicht unterstützt.
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Europa (Paris)
<a name="securityhub-control-support-euwest3"></a>

Die folgenden Steuerelemente werden in der Region Europa (Paris) nicht unterstützt.
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.5] FSx für Windows-Dateiserver sollten für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Europa (Spain)
<a name="securityhub-control-support-eusouth2"></a>

Die folgenden Steuerelemente werden in der Region Europa (Spanien) nicht unterstützt.
+  [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3) 
+  [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4) 
+  [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein](ec2-controls.md#ec2-1) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2-NAT-Gateways sollten markiert werden](ec2-controls.md#ec2-40) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ-Broker sollten markiert werden](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein](msk-controls.md#msk-4) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES-Kontaktlisten sollten mit Tags versehen werden](ses-controls.md#ses-1) 
+  [[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden](ses-controls.md#ses-2) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Europa (Stockholm)
<a name="securityhub-control-support-eunorth1"></a>

Die folgenden Steuerelemente werden in der Region Europa (Stockholm) nicht unterstützt.
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Europa (Zürich)
<a name="securityhub-control-support-eucentral2"></a>

Die folgenden Steuerelemente werden in der Region Europa (Zürich) nicht unterstützt.
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3) 
+  [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4) 
+  [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ-Broker sollten markiert werden](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein](msk-controls.md#msk-4) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Israel (Tel Aviv)
<a name="securityhub-control-support-ilcentral1"></a>

Die folgenden Kontrollen werden in der Region Israel (Tel Aviv) nicht unterstützt.
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4) 
+  [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1) 
+  [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3) 
+  [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4) 
+  [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3) 
+  [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4) 
+  [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden](ec2-controls.md#ec2-28) 
+  [[EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2-NAT-Gateways sollten markiert werden](ec2-controls.md#ec2-40) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+  [[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 
+  [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 
+  [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 
+  [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 
+  [[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8) 
+  [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 
+  [[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden](eks-controls.md#eks-7) 
+  [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 
+  [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10) 
+  [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11) 
+  [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12) 
+  [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13) 
+  [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14) 
+  [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15) 
+  [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16) 
+  [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28) 
+  [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ-Broker sollten markiert werden](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 
+  [[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein](msk-controls.md#msk-4) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren](msk-controls.md#msk-6) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 
+  [[RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-4) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden](rds-controls.md#rds-26) 
+  [[RDS.29] RDS-DB-Cluster-Snapshots sollten mit Tags versehen werden](rds-controls.md#rds-29) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 
+  [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 
+  [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Mexiko (Zentral)
<a name="securityhub-control-support-mxcentral1"></a>

Die folgenden Steuerelemente werden in der Region Mexiko (Zentral) nicht unterstützt.
+  [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1) 
+  [[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2) 
+  [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1) 
+  [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten markiert werden](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden](backup-controls.md#backup-2) 
+  [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4) 
+  [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1) 
+  [[Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein](batch-controls.md#batch-2) 
+  [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3) 
+  [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4) 
+  [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Event-Datenspeicher in CloudTrail Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben](cognito-controls.md#cognito-3) 
+  [[Cognito.4] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein](cognito-controls.md#cognito-5) 
+  [[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein](cognito-controls.md#cognito-6) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] Für DataSync Aufgaben sollte die Protokollierung aktiviert sein](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden](datasync-controls.md#datasync-2) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3) 
+  [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4) 
+  [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden](ec2-controls.md#ec2-28) 
+  [[EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-34) 
+  [[EC2.40] EC2-NAT-Gateways sollten markiert werden](ec2-controls.md#ec2-40) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+  [[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53) 
+  [[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein](ec2-controls.md#ec2-171) 
+  [[EC2.172] Die EC2 VPC Block Public Access-Einstellungen sollten den Internet-Gateway-Verkehr blockieren](ec2-controls.md#ec2-172) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2-DHCP-Optionssätze sollten markiert werden](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2-Präfixlisten sollten mit Tags versehen werden](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 
+  [[EC2.182] Amazon EBS-Snapshots sollten nicht öffentlich zugänglich sein](ec2-controls.md#ec2-182) 
+  [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 
+  [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 
+  [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) 
+  [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9) 
+  [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12) 
+  [[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ecs-controls.md#ecs-16) 
+  [[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden](ecs-controls.md#ecs-17) 
+  [[ECS.18] ECS-Aufgabendefinitionen sollten die Verschlüsselung während der Übertragung für EFS-Volumes verwenden](ecs-controls.md#ecs-18) 
+  [[ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben](ecs-controls.md#ecs-19) 
+  [[ECS.20] ECS-Aufgabendefinitionen sollten Benutzer, die keine Root-Benutzer sind, in Linux-Container-Definitionen konfigurieren](ecs-controls.md#ecs-20) 
+  [[ECS.21] ECS-Aufgabendefinitionen sollten Benutzer ohne Administratorrechte in Windows-Containerdefinitionen konfigurieren](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 
+  [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 
+  [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) 
+  [[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein](efs-controls.md#efs-7) 
+  [[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8) 
+  [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 
+  [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3) 
+  [[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden](eks-controls.md#eks-7) 
+  [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12) 
+  [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 
+  [[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](es-controls.md#es-3) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[ES.9] Elasticsearch-Domains sollten markiert werden](es-controls.md#es-9) 
+  [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert werden](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx für Windows-Dateiserver sollten für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] AWS Glue Jobs sollten markiert werden](glue-controls.md#glue-1) 
+  [[Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden](glue-controls.md#glue-3) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10) 
+  [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11) 
+  [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12) 
+  [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13) 
+  [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14) 
+  [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15) 
+  [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16) 
+  [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28) 
+  [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 
+  [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4) 
+  [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Amazon MQ-Broker sollten markiert werden](mq-controls.md#mq-4) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 
+  [[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein](msk-controls.md#msk-4) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren](msk-controls.md#msk-6) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 
+  [[PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden](pca-controls.md#pca-2) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden](rds-controls.md#rds-18) 
+  [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 
+  [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 
+  [[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden](rds-controls.md#rds-26) 
+  [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-38) 
+  [[RDS.39] RDS für MySQL-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-39) 
+  [[RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-41) 
+  [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern](rds-controls.md#rds-43) 
+  [[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden](rds-controls.md#rds-44) 
+  [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 
+  [[RDS.46] RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden](rds-controls.md#rds-46) 
+  [[RDS.47] RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-47) 
+  [[RDS.48] RDS für MySQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-48) 
+  [[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Redshift-Cluster sollten markiert werden](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden](redshift-controls.md#redshift-13) 
+  [[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7) 
+  [[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-10) 
+  [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11) 
+  [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12) 
+  [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) 
+  [[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19) 
+  [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20) 
+  [[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22) 
+  [[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES-Kontaktlisten sollten mit Tags versehen werden](ses-controls.md#ses-1) 
+  [[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden](ses-controls.md#ses-2) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen](sns-controls.md#sns-4) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3) 
+  [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 
+  [[SSM.5] SSM-Dokumente sollten mit Tags versehen werden](ssm-controls.md#ssm-5) 
+  [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Steckverbinder der Transfer-Familie sollten gekennzeichnet sein](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Familienprofile sollten mit Tags versehen werden](transfer-controls.md#transfer-7) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Middle East (Bahrain)
<a name="securityhub-control-support-mesouth1"></a>

Die folgenden Steuerelemente werden in der Region Naher Osten (Bahrain) nicht unterstützt.
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Event-Datenspeicher in CloudTrail Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein](ec2-controls.md#ec2-20) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden](ecs-controls.md#ecs-17) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert werden](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx für Windows-Dateiserver sollten für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-13) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-41) 
+  [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern](rds-controls.md#rds-43) 
+  [[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden](rds-controls.md#rds-44) 
+  [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 
+  [[RDS.46] RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden](rds-controls.md#rds-46) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen](sagemaker-controls.md#sagemaker-8) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Naher Osten (VAE)
<a name="securityhub-control-support-mecentral1"></a>

Die folgenden Steuerelemente werden in der Region Naher Osten (VAE) nicht unterstützt.
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4) 
+  [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3) 
+  [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4) 
+  [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 
+  [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein](msk-controls.md#msk-4) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren](msk-controls.md#msk-6) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES-Kontaktlisten sollten mit Tags versehen werden](ses-controls.md#ses-1) 
+  [[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden](ses-controls.md#ses-2) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## Südamerika (São Paulo)
<a name="securityhub-control-support-saeast1"></a>

Die folgenden Steuerelemente werden in der Region Südamerika (São Paulo) nicht unterstützt.
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein](cognito-controls.md#cognito-5) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1) 
+  [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

## AWS GovCloud (US-Ost)
<a name="securityhub-control-support-usgoveast1"></a>

Die folgenden Steuerelemente werden in der Region AWS GovCloud (USA-Ost) nicht unterstützt.
+  [[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2) 
+  [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1) 
+  [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten markiert werden](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4) 
+  [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1) 
+  [[Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein](batch-controls.md#batch-2) 
+  [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3) 
+  [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben](cognito-controls.md#cognito-3) 
+  [[Cognito.4] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein](cognito-controls.md#cognito-5) 
+  [[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein](cognito-controls.md#cognito-6) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 
+  [[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden](datasync-controls.md#datasync-2) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.47] Amazon VPC Endpoint Services sollten markiert werden](ec2-controls.md#ec2-47) 
+  [[EC2.52] EC2-Transit-Gateways sollten markiert werden](ec2-controls.md#ec2-52) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2-DHCP-Optionssätze sollten markiert werden](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2-Präfixlisten sollten mit Tags versehen werden](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 
+  [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 
+  [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) 
+  [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9) 
+  [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12) 
+  [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 
+  [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 
+  [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 
+  [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12) 
+  [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.21] Zielgruppen für Anwendungen und Network Load Balancer sollten verschlüsselte Health Check-Protokolle verwenden](elb-controls.md#elb-21) 
+  [[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden](elb-controls.md#elb-22) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden](glue-controls.md#glue-3) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26) 
+  [[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 
+  [[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 
+  [[PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden](pca-controls.md#pca-2) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15) 
+  [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 
+  [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 
+  [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 
+  [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31) 
+  [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern](rds-controls.md#rds-43) 
+  [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 
+  [[RDS.47] RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-47) 
+  [[RDS.48] RDS für MySQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-48) 
+  [[RDS.50] Für RDS-DB-Cluster sollte ein ausreichender Aufbewahrungszeitraum für Backups festgelegt sein](rds-controls.md#rds-50) 
+  [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-10) 
+  [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11) 
+  [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12) 
+  [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) 
+  [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] SES-Kontaktlisten sollten mit Tags versehen werden](ses-controls.md#ses-1) 
+  [[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden](ses-controls.md#ses-2) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen](sns-controls.md#sns-4) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 
+  [[SSM.5] SSM-Dokumente sollten mit Tags versehen werden](ssm-controls.md#ssm-5) 
+  [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 
+  [[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Die Aktivitäten von Step Functions sollten markiert werden](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Steckverbinder der Transfer-Familie sollten gekennzeichnet sein](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Familienprofile sollten mit Tags versehen werden](transfer-controls.md#transfer-7) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

## AWS GovCloud (US-West)
<a name="securityhub-control-support-usgovwest1"></a>

Die folgenden Steuerelemente werden in der Region AWS GovCloud (US-West) nicht unterstützt.
+  [[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2) 
+  [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1) 
+  [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten markiert werden](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 
+  [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4) 
+  [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1) 
+  [[Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein](batch-controls.md#batch-2) 
+  [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3) 
+  [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein](cognito-controls.md#cognito-1) 
+  [[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben](cognito-controls.md#cognito-3) 
+  [[Cognito.4] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein](cognito-controls.md#cognito-5) 
+  [[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein](cognito-controls.md#cognito-6) 
+  [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1) 
+  [[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden](datasync-controls.md#datasync-2) 
+  [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 
+  [[EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden](ec2-controls.md#ec2-28) 
+  [[EC2.38] EC2-Instances sollten markiert werden](ec2-controls.md#ec2-38) 
+  [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60) 
+  [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 
+  [[EC2.174] EC2-DHCP-Optionssätze sollten markiert werden](ec2-controls.md#ec2-174) 
+  [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175) 
+  [[EC2.176] EC2-Präfixlisten sollten mit Tags versehen werden](ec2-controls.md#ec2-176) 
+  [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177) 
+  [[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden](ec2-controls.md#ec2-178) 
+  [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179) 
+  [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 
+  [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 
+  [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 
+  [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4) 
+  [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) 
+  [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9) 
+  [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12) 
+  [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 
+  [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 
+  [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 
+  [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12) 
+  [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.21] Zielgruppen für Anwendungen und Network Load Balancer sollten verschlüsselte Health Check-Protokolle verwenden](elb-controls.md#elb-21) 
+  [[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden](elb-controls.md#elb-22) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24) 
+  [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25) 
+  [[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28) 
+  [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1) 
+  [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2) 
+  [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein](kms-controls.md#kms-5) 
+  [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 
+  [[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein](msk-controls.md#msk-2) 
+  [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 
+  [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 
+  [[PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden](pca-controls.md#pca-2) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15) 
+  [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 
+  [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 
+  [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 
+  [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern](rds-controls.md#rds-43) 
+  [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 
+  [[RDS.47] RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-47) 
+  [[RDS.48] RDS für MySQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-48) 
+  [[RDS.50] Für RDS-DB-Cluster sollte ein ausreichender Aufbewahrungszeitraum für Backups festgelegt sein](rds-controls.md#rds-50) 
+  [[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Redshift-Cluster sollten markiert werden](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden](redshift-controls.md#redshift-13) 
+  [[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1) 
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-10) 
+  [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11) 
+  [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12) 
+  [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) 
+  [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20) 
+  [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 
+  [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 
+  [[SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen](sns-controls.md#sns-4) 
+  [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 
+  [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 
+  [[SSM.5] SSM-Dokumente sollten mit Tags versehen werden](ssm-controls.md#ssm-5) 
+  [[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Die Aktivitäten von Step Functions sollten markiert werden](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Steckverbinder der Transfer-Familie sollten gekennzeichnet sein](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Familienprofile sollten mit Tags versehen werden](transfer-controls.md#transfer-7) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12) 

# Security Hub CSPM-Ressourcen erstellen mit CloudFormation
<a name="creating-resources-with-cloudformation"></a>

AWS Security Hub CSPM lässt sich in einen Dienst integrieren AWS CloudFormation, der Ihnen hilft, Ihre AWS Ressourcen zu modellieren und einzurichten, sodass Sie weniger Zeit mit der Erstellung und Verwaltung Ihrer Ressourcen und Infrastruktur verbringen müssen. Sie erstellen eine Vorlage, die alle gewünschten AWS Ressourcen beschreibt (z. B. Automatisierungsregeln) und diese Ressourcen für Sie CloudFormation bereitstellt und konfiguriert.

Wenn Sie sie verwenden CloudFormation, können Sie Ihre Vorlage wiederverwenden, um Ihre Security Hub CSPM-Ressourcen konsistent und wiederholt einzurichten. Beschreiben Sie Ihre Ressourcen einmal und stellen Sie dann dieselben Ressourcen immer wieder in mehreren Regionen bereit AWS-Konten . 

## Security Hub CSPM und Vorlagen CloudFormation
<a name="working-with-templates"></a>

Um Ressourcen für Security Hub CSPM und verwandte Dienste bereitzustellen und zu konfigurieren, müssen Sie wissen, wie [CloudFormation Vorlagen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html) funktionieren. Vorlagen sind Textdateien im JSON- oder YAML-Format. Diese Vorlagen beschreiben die Ressourcen, die Sie in Ihren CloudFormation Stacks bereitstellen möchten.

Wenn Sie mit JSON oder YAML nicht vertraut sind, können Sie CloudFormation Designer verwenden, um Ihnen die ersten Schritte mit Vorlagen zu erleichtern. CloudFormation Weitere Informationen finden Sie unter [Was ist CloudFormation Designer?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html) im *AWS CloudFormation Benutzerhandbuch*.

Sie können CloudFormation Vorlagen für die folgenden Typen von Security Hub CSPM-Ressourcen erstellen:
+ Security Hub CSPM aktivieren
+ Benennen des delegierten Security Hub CSPM-Administrators für eine Organisation
+ Geben Sie an, wie Ihre Organisation in Security Hub CSPM konfiguriert ist
+ Aktivierung eines Sicherheitsstandards
+ Aktivierung der regionsübergreifenden Aggregation
+ Eine zentrale Konfigurationsrichtlinie erstellen und sie Konten, der Organisationseinheit (OUs) oder dem Stamm zuordnen
+ Einen benutzerdefinierten Einblick erstellen
+ Eine Automatisierungsregel erstellen
+ Anpassen der Steuerparameter
+ Abonnieren Sie eine Produktintegration eines Drittanbieters

*Weitere Informationen, einschließlich Beispielen für JSON- und YAML-Vorlagen für Ressourcen, finden Sie in der [AWS Security Hub CSPM-Ressourcentyp-Referenz im AWS CloudFormation Benutzerhandbuch.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SecurityHub.html)*

## Erfahren Sie mehr über CloudFormation
<a name="learn-more-cloudformation"></a>

Weitere Informationen CloudFormation dazu finden Sie in den folgenden Ressourcen:
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation Benutzerhandbuch](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation API Reference](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation Benutzerhandbuch für die Befehlszeilenschnittstelle](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)

# Abonnieren von Security Hub CSPM-Ankündigungen mit Amazon SNS
<a name="securityhub-announcements"></a>

Dieser Abschnitt enthält Informationen zum Abonnieren von AWS Security Hub CSPM-Ankündigungen mit Amazon Simple Notification Service (Amazon SNS), um Benachrichtigungen über Security Hub CSPM zu erhalten. 

Nach dem Abonnieren erhalten Sie Benachrichtigungen über die folgenden Ereignisse (beachten Sie die entsprechenden Ereignisse): `AnnouncementType`
+ `GENERAL`— Allgemeine Benachrichtigungen über den Security Hub CSPM-Dienst.
+ `UPCOMING_STANDARDS_CONTROLS`— Spezifizierte Security Hub CSPM-Steuerungen oder -Standards werden in Kürze veröffentlicht. Diese Art der Ankündigung hilft Ihnen dabei, Reaktions- und Behebungsabläufe im Vorfeld einer Veröffentlichung vorzubereiten.
+ `NEW_REGIONS`— Die Support für Security Hub CSPM ist in einer neuen Version verfügbar. AWS-Region
+ `NEW_STANDARDS_CONTROLS`— Neue Security Hub CSPM-Steuerungen oder -Standards wurden hinzugefügt.
+ `UPDATED_STANDARDS_CONTROLS`— Bestehende Security Hub CSPM-Kontrollen oder -Standards wurden aktualisiert.
+ `RETIRED_STANDARDS_CONTROLS`— Bestehende Security Hub CSPM-Kontrollen oder -Standards wurden eingestellt.
+ `UPDATED_ASFF`— Die Syntax, Felder oder Werte des AWS Security Finding Format (ASFF) wurden aktualisiert.
+ `NEW_INTEGRATION`— Neue Integrationen mit anderen AWS Diensten oder Produkten von Drittanbietern sind verfügbar.
+ `NEW_FEATURE`— Neue Security Hub CSPM-Funktionen sind verfügbar.
+ `UPDATED_FEATURE`— Bestehende Security Hub CSPM-Funktionen wurden aktualisiert.

Benachrichtigungen sind in allen Formaten verfügbar, die Amazon SNS unterstützt. Sie können die Ankündigungen von Security Hub CSPM in allen Bereichen abonnieren, in [AWS-Regionen denen Security Hub CSPM verfügbar](https://docs.aws.amazon.com/general/latest/gr/sechub.html) ist.

Ein Benutzer muss über `Subscribe` Berechtigungen verfügen, um ein Amazon SNS SNS-Thema zu abonnieren. Sie können dies mit Amazon SNS SNS-Richtlinien, IAM-Richtlinien oder beidem erreichen. Weitere Informationen finden Sie unter [IAM- und Amazon SNS SNS-Richtlinien zusammen](https://docs.aws.amazon.com/sns/latest/dg/sns-using-identity-based-policies.html#iam-and-sns-policies) im *Amazon Simple Notification Service Developer Guide*.

**Anmerkung**  
Security Hub CSPM sendet Amazon SNS SNS-Ankündigungen über Updates für den Security Hub CSPM-Service an alle Abonnenten. AWS-Konto Informationen zum Erhalt von Benachrichtigungen über die Ergebnisse von Security Hub CSPM finden Sie unter. [Überprüfung der Funddetails und des Verlaufs in Security Hub CSPM](securityhub-findings-viewing.md)

Sie können eine Amazon Simple Queue Service (Amazon SQS) -Warteschlange für ein Amazon SNS SNS-Thema abonnieren, müssen jedoch einen Amazon SNS SNS-Thema Amazon Resource Name (ARN) verwenden, der sich in derselben Region befindet. Weitere Informationen finden Sie unter [Abonnieren einer Warteschlange für ein Amazon SNS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-subscribe-queue-sns-topic.html) im *Amazon Simple Queue Service Developer Guide*.

Sie können auch eine AWS Lambda Funktion verwenden, um Ereignisse auszulösen, wenn Sie Benachrichtigungen erhalten. Weitere Informationen, einschließlich Beispielfunktionscode, finden Sie unter [Tutorial: Using AWS Lambda with Amazon Simple Notification Service](https://docs.aws.amazon.com/lambda/latest/dg/with-sns-example.html) im *AWS Lambda Entwicklerhandbuch*.

Die Amazon SNS-Themen ARNs für jede Region lauten wie folgt.


| AWS-Region | ARN des Amazon-SNS-Themas | 
| --- | --- | 
| US East (Ohio) | arn:aws:sns:us-east-2:291342846459:SecurityHubAnnouncements | 
| USA Ost (Nord-Virginia) | arn:aws:sns:us-east-1:088139225913:SecurityHubAnnouncements | 
| USA West (Nordkalifornien) | arn:aws:sns:us-west-1:137690824926:SecurityHubAnnouncements | 
| USA West (Oregon) | arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements | 
| Africa (Cape Town) | arn:aws:sns:af-south-1:463142546776:SecurityHubAnnouncements | 
| Asien-Pazifik (Hongkong) | arn:aws:sns:ap-east-1:464812404305:SecurityHubAnnouncements | 
| Asien-Pazifik (Hyderabad) | arn:aws:sns:ap-south-2:849907286123:SecurityHubAnnouncements | 
| Asien-Pazifik (Jakarta) | arn:aws:sns:ap-southeast-3:627843640627:SecurityHubAnnouncements | 
| Asien-Pazifik (Mumbai) | arn:aws:sns:ap-south-1:707356269775:SecurityHubAnnouncements | 
| Asien-Pazifik (Osaka) | arn:aws:sns:ap-northeast-3:633550238216:SecurityHubAnnouncements | 
| Asien-Pazifik (Seoul) | arn:aws:sns:ap-northeast-2:374299265323:SecurityHubAnnouncements | 
| Asien-Pazifik (Singapur) | arn:aws:sns:ap-southeast-1:512267288502:SecurityHubAnnouncements | 
| Asien-Pazifik (Sydney) | arn:aws:sns:ap-southeast-2:475730049140:SecurityHubAnnouncements | 
| Asien-Pazifik (Tokio) | arn:aws:sns:ap-northeast-1:592469075483:SecurityHubAnnouncements | 
| Canada (Central) | arn:aws:sns:ca-central-1:137749997395:SecurityHubAnnouncements | 
| China (Peking) | arn:aws-cn:sns:cn-north-1:672341567257:SecurityHubAnnouncements | 
| China (Ningxia) | arn:aws-cn:sns:cn-northwest-1:672534482217:SecurityHubAnnouncements | 
| Europe (Frankfurt) | arn:aws:sns:eu-central-1:871975303681:SecurityHubAnnouncements | 
| Europa (Irland) | arn:aws:sns:eu-west-1:705756202095:SecurityHubAnnouncements | 
| Europa (London) | arn:aws:sns:eu-west-2:883600840440:SecurityHubAnnouncements | 
| Europa (Milan) | arn:aws:sns:eu-south-1:151363035580:SecurityHubAnnouncements | 
| Europa (Paris) | arn:aws:sns:eu-west-3:313420042571:SecurityHubAnnouncements | 
| Europa (Spain) | arn:aws:sns:eu-south-2:777487947751:SecurityHubAnnouncements | 
| Europa (Stockholm) | arn:aws:sns:eu-north-1:191971010772:SecurityHubAnnouncements | 
| Europa (Zürich) | arn:aws:sns:eu-central-2:704347005078:SecurityHubAnnouncements | 
| Israel (Tel Aviv) | arn:aws:sns:il-central-1:726652212146:SecurityHubAnnouncements | 
| Middle East (Bahrain) | arn:aws:sns:me-south-1:585146626860:SecurityHubAnnouncements | 
| Naher Osten (VAE) | arn:aws:sns:me-central-1:431548502100:SecurityHubAnnouncements | 
| Südamerika (São Paulo) | arn:aws:sns:sa-east-1:359811883282:SecurityHubAnnouncements | 
| AWS GovCloud (US-Ost) | arn:aws-us-gov:sns:us-gov-east-1:239368469855:SecurityHubAnnouncements | 
| AWS GovCloud (US-West) | arn:aws-us-gov:sns:us-gov-west-1:239334163374:SecurityHubAnnouncements | 

Nachrichten sind in der Regel in allen Regionen innerhalb einer [Partition](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) identisch. Sie können also eine Region in jeder Partition abonnieren, um Ankündigungen zu erhalten, die sich auf alle Regionen in dieser Partition auswirken. Ankündigungen, die mit Mitgliedskonten verknüpft sind, werden nicht im Administratorkonto repliziert. Daher verfügt jedes Konto, einschließlich des Administratorkontos, nur über eine Kopie jeder Ankündigung. Sie können entscheiden, welches Konto Sie verwenden möchten, um Security Hub CSPM-Ankündigungen zu abonnieren.

Informationen zu den Kosten für das Abonnieren von Security Hub CSPM-Ankündigungen finden Sie unter [Amazon](https://aws.amazon.com/sns/pricing/) SNS SNS-Preise.

**Security Hub CSPM-Ankündigungen abonnieren (Konsole)**

1. Öffnen Sie die Amazon SNS SNS-Konsole unter [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home).

1. Wählen Sie in der Liste Region die Region aus, in der Sie Security Hub CSPM-Ankündigungen abonnieren möchten. In diesem Beispiel wird die Region `us-west-2` verwendet.

1. Wählen Sie im Navigationsbereich **Subscriptions** (Abonnements) und dann **Create subscription** (Abonnement erstellen) aus.

1. Geben Sie den Themen-ARN in das Feld **Themen-ARN** ein. Beispiel, `arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements`.

1. Wählen Sie **unter Protokoll** aus, wie Sie Security Hub CSPM-Ankündigungen erhalten möchten. Wenn Sie **E-Mail** wählen, geben Sie für **Endpoint** die E-Mail-Adresse ein, die Sie für den Empfang von Ankündigungen verwenden möchten.

1. Wählen Sie **Create subscription** (Abonnement erstellen) aus.

1. Bestätigen Sie das Abonnement. Wenn Sie beispielsweise das E-Mail-Protokoll ausgewählt haben, sendet Amazon SNS eine Bestätigungsnachricht für das Abonnement an die von Ihnen angegebene E-Mail-Adresse.

**Abonnieren von Security Hub CSPM-Ankündigungen ()AWS CLI**

1. Führen Sie den folgenden Befehl aus:

   ```
    aws  sns --region us-west-2 subscribe --topic-arn arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements --protocol email --notification-endpoint your_email@your_domain.com
   ```

1. Bestätigen Sie das Abonnement. Wenn Sie beispielsweise das E-Mail-Protokoll ausgewählt haben, sendet Amazon SNS eine Bestätigungsnachricht für das Abonnement an die von Ihnen angegebene E-Mail-Adresse.

## Amazon-SNS-Nachrichtenformat
<a name="securityhub-announcements-example"></a>

Die folgenden Beispiele zeigen Security Hub CSPM-Ankündigungen von Amazon SNS zur Einführung neuer Sicherheitskontrollen. Der Nachrichteninhalt variiert je nach Art der Ankündigung, aber das Format ist für alle Ankündigungstypen gleich. Optional kann ein `Link` Feld mit Details zur Ankündigung hinzugefügt werden.

**Beispiel: Security Hub CSPM-Ankündigung für neue Kontrollen (E-Mail-Protokoll)**

```
{
"AnnouncementType":"NEW_STANDARDS_CONTROLS",
"Title":"[New Controls] 36 new Security Hub CSPM controls added to the AWS Foundational Security Best Practices standard",
"Description":"We have added 36 new controls to the AWS Foundational Security Best Practices standard. These include controls for Amazon Auto Scaling (AutoScaling.3, AutoScaling.4, AutoScaling.6), CloudFormation (CloudFormation.1), Amazon CloudFront (CloudFront.10), Amazon Elastic Compute Cloud (Amazon EC2) (EC2.23, EC2.24, EC2.27), Amazon Elastic Container Registry (Amazon ECR) (ECR.1, ECR.2), Amazon Elastic Container Service (Amazon ECS) (ECS.3, ECS.4, ECS.5, ECS.8, ECS.10, ECS.12), Amazon Elastic File System (Amazon EFS) (EFS.3, EFS.4), Amazon Elastic Kubernetes Service (Amazon EKS) (EKS.2), Elastic Load Balancing (ELB.12, ELB.13, ELB.14), Amazon Kinesis (Kinesis.1), AWS Network Firewall (NetworkFirewall.3, NetworkFirewall.4, NetworkFirewall.5), Amazon OpenSearch Service (OpenSearch.7), Amazon Redshift (Redshift.9), 
Amazon Simple Storage Service (Amazon S3) (S3.13), Amazon Simple Notification Service (SNS.2), AWS WAF (WAF.2, WAF.3, WAF.4, WAF.6, WAF.7, WAF.8). If you enabled the AWS Foundational Security Best Practices standard in an account and configured Security Hub CSPM to automatically enable new controls, these controls are enabled by default. Availability of controls can vary by Region. "
}
```

**Beispiel: Security Hub CSPM-Ankündigung für neue Kontrollen (E-Mail-JSON-Protokoll)**

```
{
  "Type" : "Notification",
  "MessageId" : "d124c9cf-326a-5931-9263-92a92e7af49f",
  "TopicArn" : "arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements",
  "Message" : "{\"AnnouncementType\":\"NEW_STANDARDS_CONTROLS\",\"Title\":\"[New Controls] 36 new Security Hub CSPM controls added to the AWS Foundational Security Best Practices standard\",\"Description\":\"We have added 36 new controls to the AWS Foundational Security Best Practices standard. These include controls for Amazon Auto Scaling (AutoScaling.3, AutoScaling.4, AutoScaling.6), CloudFormation (CloudFormation.1), Amazon CloudFront (CloudFront.10), Amazon Elastic Compute Cloud (Amazon EC2) (EC2.23, EC2.24, EC2.27), Amazon Elastic Container Registry (Amazon ECR) (ECR.1, ECR.2), Amazon Elastic Container Service (Amazon ECS) (ECS.3, ECS.4, ECS.5, ECS.8, ECS.10, ECS.12), Amazon Elastic File System (Amazon EFS) (EFS.3, EFS.4), Amazon Elastic Kubernetes Service (Amazon EKS) (EKS.2), Elastic Load Balancing (ELB.12, ELB.13, ELB.14), Amazon Kinesis (Kinesis.1), AWS Network Firewall (NetworkFirewall.3, NetworkFirewall.4, NetworkFirewall.5), Amazon OpenSearch Service (OpenSearch.7), Amazon Redshift (Redshift.9), 
Amazon Simple Storage Service (Amazon S3) (S3.13), Amazon Simple Notification Service (SNS.2), AWS WAF (WAF.2, WAF.3, WAF.4, WAF.6, WAF.7, WAF.8). If you enabled the AWS Foundational Security Best Practices standard in an account and configured SSecurity Hub CSPM to automatically enable new controls, these controls are enabled by default. Availability of controls can vary by Region. \"}",
  "Timestamp" : "2022-08-04T19:11:12.652Z",
  "SignatureVersion" : "1",
  "Signature" : "HTHgNFRYMetCvisulgLM4CVySvK9qCXFPHQDxYl9tuCFQuIrd7YO4m4YFR28XKMgzqrF20YP+EilipUm2SOTpEEtOTekU5bn74+YmNZfwr4aPFx0vUuQCVOshmHl37hjkiLjhCg/t53QQiLfP7MH+MTXIUPR37k5SuFCXvjpRQ8ynV532AH3Wpv0HmojDLMg+eg51V1fUsOG8yiJVCBEJhJ1yS+gkwJdhRk2UQab9RcAmE6COK3hRWcjDwqTXz5nR6Ywv1ZqZfLIl7gYKslt+jsyd/k+7kOqGmOJRDr7qhE7H+7vaGRLOptsQnbW8VmeYnDbahEO8FV+Mp1rpV+7Qg==",
  "SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-56e67fcb41f6fec09b0196692625d385.pem",
  "UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements:9d0230d7-d582-451d-9f15-0c32818bf61f"
}
```

# Security Hub CSPM deaktivieren
<a name="securityhub-disable"></a>

Sie können AWS Security Hub CSPM mithilfe der Security Hub CSPM-Konsole oder der Security Hub Hub-API deaktivieren. Wenn Sie Security Hub CSPM deaktivieren, können Sie es später wieder aktivieren.

Wenn Ihre Organisation die zentrale Konfiguration verwendet, kann der delegierte Security Hub CSPM-Administrator Konfigurationsrichtlinien erstellen, die Security Hub CSPM für bestimmte Konten und Organisationseinheiten deaktivieren (OUs) und Security Hub CSPM für andere aktivieren. Die Konfigurationsrichtlinien wirken sich auf die Heimatregion und alle verknüpften Regionen aus. Weitere Informationen finden Sie unter [Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

Wenn Sie Security Hub CSPM für ein Konto deaktivieren, passiert Folgendes:
+ Alle Security Hub CSPM-Standards und -Kontrollen sind für das Konto deaktiviert.
+ Security Hub CSPM beendet die Generierung, Aktualisierung und Erfassung von Ergebnissen für das Konto.
+ Nach 30 Tagen löscht Security Hub CSPM dauerhaft alle vorhandenen archivierten Ergebnisse für das Konto. Die Ergebnisse können mit Security Hub CSPM nicht wiederhergestellt werden.
+ Nach 90 Tagen löscht Security Hub CSPM dauerhaft alle vorhandenen aktiven Ergebnisse für das Konto. Die Ergebnisse können mit Security Hub CSPM nicht wiederhergestellt werden.
+ Nach 90 Tagen löscht Security Hub CSPM dauerhaft alle vorhandenen Insights und Security Hub CSPM-Konfigurationseinstellungen für das Konto. Die Daten und Einstellungen können nicht wiederhergestellt werden.

Um bestehende Ergebnisse beizubehalten, können Sie die Ergebnisse in einen S3-Bucket exportieren, bevor Sie Security Hub CSPM deaktivieren. Sie können dies tun, indem Sie eine benutzerdefinierte Aktion mit einer EventBridge Amazon-Regel verwenden. Weitere Informationen finden Sie unter [Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen](securityhub-cloudwatch-events.md).

Wenn Sie Security Hub CSPM innerhalb von 90 Tagen nach der Deaktivierung für ein Konto erneut aktivieren, erhalten Sie wieder Zugriff auf bestehende aktive Ergebnisse sowie auf Einblicke und Security Hub CSPM-Konfigurationseinstellungen für das Konto. Wenn Sie Security Hub CSPM innerhalb von 30 Tagen erneut aktivieren, erhalten Sie auch wieder Zugriff auf bestehende archivierte Ergebnisse für das Konto. Bestehende Ergebnisse können jedoch ungenau sein, da sie den Zustand Ihrer AWS Umgebung widerspiegeln, als Sie Security Hub CSPM deaktiviert haben. Wenn Sie einzelne Standards und Kontrollen wieder aktivieren, generiert Security Hub CSPM außerdem möglicherweise zunächst doppelte Ergebnisse für bestimmte AWS Ressourcen, je nachdem, welche Standards und Kontrollen Sie aktivieren. Aus diesen Gründen empfehlen wir Ihnen, einen der folgenden Schritte durchzuführen:
+ Ändern Sie den Workflow-Status aller vorhandenen Ergebnisse auf „`RESOLVED`Bevor Sie Security Hub CSPM deaktivieren“. Weitere Informationen finden Sie unter [Den Workflow-Status von Ergebnissen festlegen](findings-workflow-status.md).
+ Deaktivieren Sie alle Standards mindestens sechs Tage vor der Deaktivierung von Security Hub CSPM. Security Hub CSPM archiviert dann alle vorhandenen Ergebnisse nach bestem Wissen und Gewissen, in der Regel innerhalb von drei bis fünf Tagen. Weitere Informationen finden Sie unter [Deaktivierung eines Standards](disable-standards.md).

In den folgenden Fällen können Sie Security Hub CSPM nicht deaktivieren:
+ Ihr Konto ist das delegierte Security Hub CSPM-Administratorkonto für eine Organisation. Wenn Sie die zentrale Konfiguration verwenden, können Sie keine Konfigurationsrichtlinie zuordnen, die Security Hub CSPM für das delegierte Administratorkonto deaktiviert. Die Zuordnung kann für andere Konten erfolgreich sein, aber Security Hub CSPM wendet die Richtlinie nicht auf das delegierte Administratorkonto an.
+ Ihr Konto ist auf Einladung ein Security Hub CSPM-Administratorkonto, und Sie haben Mitgliedskonten. Bevor Sie Security Hub CSPM deaktivieren können, müssen Sie die Verknüpfung aller Ihrer Mitgliedskonten aufheben. Um zu erfahren wie dies geht, vgl. [Aufheben der Zuordnung von Mitgliedskonten in Security Hub CSPM](securityhub-disassociate-members.md).

Bevor der Besitzer eines Mitgliedskontos Security Hub CSPM deaktivieren kann, muss das Konto von seinem Administratorkonto getrennt werden. Bei einem Organisationskonto kann nur das Administratorkonto die Zuordnung zu einem Mitgliedskonto aufheben. Weitere Informationen finden Sie unter [Trennung der Security Hub CSPM-Mitgliedskonten von Ihrer Organisation](accounts-orgs-disassociate.md). Bei einem manuell eingeladenen Konto kann entweder das Administratorkonto oder das Mitgliedskonto die Zuordnung des Kontos aufheben. Für weitere Informationen siehe [Aufheben der Zuordnung von Mitgliedskonten in Security Hub CSPM](securityhub-disassociate-members.md) oder [Trennung von einem Security Hub CSPM-Administratorkonto](securityhub-disassociate-from-admin.md). Eine Trennung der Zuordnung ist nicht erforderlich, wenn Sie die zentrale Konfiguration verwenden, da der Security Hub CSPM-Administrator eine Richtlinie erstellen kann, die Security Hub CSPM für bestimmte Mitgliedskonten deaktiviert.

Wenn Sie Security Hub CSPM für ein Konto deaktivieren, ist es nur in der aktuellen Version deaktiviert. AWS-Region Wenn Sie jedoch die zentrale Konfiguration verwenden, um Security Hub CSPM für bestimmte Konten zu deaktivieren, ist es in der Heimatregion und allen verknüpften Regionen deaktiviert.

Um Security Hub CSPM zu deaktivieren, wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten.

------
#### [ Security Hub CSPM console ]

Gehen Sie wie folgt vor, um Security Hub CSPM mithilfe der Konsole zu deaktivieren.

**So deaktivieren Sie Security Hub CSPM**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Klicken Sie im Navigationsbereich unter **Settings** auf **General**.

1. Wählen **Sie im Abschnitt Security Hub CSPM deaktivieren** die Option **Security Hub CSPM deaktivieren** aus.

1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Disable Security Hub CSPM**.

------
#### [ Security Hub API ]

Verwenden Sie den [DisableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableSecurityHub.html)Betrieb der Security Hub-API, um Security Hub CSPM programmgesteuert zu deaktivieren. AWS Oder, wenn Sie den verwenden, führen Sie den Befehl aus AWS CLI. [disable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-security-hub.html) Beispielsweise deaktiviert der folgende Befehl Security Hub CSPM in der aktuellen Version: AWS-Region

```
$ aws securityhub disable-security-hub
```

------

# Sicherheit in AWS Security Hub CSPM
<a name="security"></a>

Cloud-Sicherheit hat AWS höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.

Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/) regelmäßig. Weitere Informationen zu den Compliance-Programmen für AWS Security Hub CSPM finden Sie unter [Durch das Compliance-Programm abgedeckte AWS -Services](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.

Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Security Hub CSPM anwenden können. In den folgenden Themen erfahren Sie, wie Sie Security Hub CSPM konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Ihnen helfen, Ihre Security Hub CSPM-Ressourcen zu überwachen und zu sichern.

**Topics**
+ [

# Datenschutz in AWS Security Hub CSPM
](data-protection.md)
+ [

# AWS Identity and Access Management für Security Hub CSPM
](security-iam.md)
+ [

# Überprüfung der Einhaltung der Vorschriften für AWS Security Hub CSPM
](securityhub-compliance.md)
+ [

# Resilienz im AWS Security Hub
](disaster-recovery-resiliency.md)
+ [

# Sicherheit der Infrastruktur in AWS Security Hub CSPM
](infrastructure-security.md)
+ [

# AWS Security Hub CSPM und Schnittstellen-VPC-Endpunkte ()AWS PrivateLink
](security-vpc-endpoints.md)

# Datenschutz in AWS Security Hub CSPM
<a name="data-protection"></a>

Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) gilt für den Datenschutz in. AWS Security Hub CSPM Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.

Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Security Hub CSPM oder anderen AWS-Services über die Konsole AWS CLI, API oder arbeiten. AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

Security Hub CSPM ist ein Serviceangebot für mehrere Mandanten. Um den Datenschutz zu gewährleisten, verschlüsselt Security Hub CSPM ruhende Daten und Daten, die zwischen Komponentendiensten übertragen werden.

# AWS Identity and Access Management für Security Hub CSPM
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Security Hub Hub-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.

**Topics**
+ [

## Zielgruppe
](#security_iam_audience)
+ [

## Authentifizierung mit Identitäten
](#security_iam_authentication)
+ [

## Verwalten des Zugriffs mit Richtlinien
](#security_iam_access-manage)
+ [

# So funktioniert Security Hub mit IAM
](security_iam_service-with-iam.md)
+ [

# Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM
](security_iam_id-based-policy-examples.md)
+ [

# Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM
](using-service-linked-roles.md)
+ [

# AWS verwaltete Richtlinien für Security Hub
](security-iam-awsmanpol.md)
+ [

# Fehlerbehebung bei AWS Security Hub CSPM Identität und Zugriff
](security_iam_troubleshoot.md)

## Zielgruppe
<a name="security_iam_audience"></a>

Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei AWS Security Hub CSPM Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Security Hub mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)).

## Authentifizierung mit Identitäten
<a name="security_iam_authentication"></a>

Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos

Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.

 AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.

### AWS-Konto Root-Benutzer
<a name="security_iam_authentication-rootuser"></a>

 Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*. 

### Verbundidentität
<a name="security_iam_authentication-federated"></a>

Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.

Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.

Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

### IAM-Benutzer und -Gruppen
<a name="security_iam_authentication-iamuser"></a>

Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.

Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.

### IAM-Rollen
<a name="security_iam_authentication-iamrole"></a>

Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.

IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

## Verwalten des Zugriffs mit Richtlinien
<a name="security_iam_access-manage"></a>

Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.

Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.

Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.

### Identitätsbasierte Richtlinien
<a name="security_iam_access-manage-id-based-policies"></a>

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.

### Ressourcenbasierte Richtlinien
<a name="security_iam_access-manage-resource-based-policies"></a>

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).

Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.

### Weitere Richtlinientypen
<a name="security_iam_access-manage-other-policies"></a>

AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.

### Mehrere Richtlinientypen
<a name="security_iam_access-manage-multiple-policies"></a>

Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.

# So funktioniert Security Hub mit IAM
<a name="security_iam_service-with-iam"></a>

Bevor Sie AWS Identity and Access Management (IAM) zur Verwaltung des Zugriffs auf verwenden, sollten Sie sich darüber informieren AWS Security Hub CSPM, welche IAM-Funktionen für die Verwendung mit Security Hub CSPM verfügbar sind.


**IAM-Funktionen, die Sie mit verwenden können AWS Security Hub CSPM**  

| IAM-Feature | Security Hub CSPM-Unterstützung | 
| --- | --- | 
|  [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies)  |   Ja  | 
|  [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies)  |   Nein   | 
|  [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions)  |   Ja  | 
|  [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources)  |   Nein   | 
|  [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Ja  | 
|  [Zugriffskontrolllisten () ACLs](#security_iam_service-with-iam-acls)  |   Nein   | 
|  [Attributbasierte Zugriffskontrolle (ABAC) — Tags in Richtlinien](#security_iam_service-with-iam-tags)  |   Ja  | 
|  [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds)  |   Ja  | 
|  [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Ja  | 
|  [Servicerollen](#security_iam_service-with-iam-roles-service)  |   Nein   | 
|  [Serviceverknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked)  |   Ja  | 

*Einen allgemeinen Überblick darüber, wie Security Hub CSPM und andere mit den meisten IAM-Funktionen AWS-Services funktionieren [AWS-Services , finden Sie im IAM-Benutzerhandbuch unter Diese funktionieren mit IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*

## Identitätsbasierte Richtlinien für Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Unterstützt Richtlinien auf Identitätsbasis:** Ja

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.

Security Hub CSPM unterstützt identitätsbasierte Richtlinien. Weitere Informationen finden Sie unter [Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Ressourcenbasierte Richtlinien für Security Hub CSPM
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Unterstützt ressourcenbasierte Richtlinien:** Nein 

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services

Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

Security Hub CSPM unterstützt keine ressourcenbasierten Richtlinien. Sie können eine IAM-Richtlinie nicht direkt an eine Security Hub-CSPM-Ressource anhängen.

## Richtlinienaktionen für Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Unterstützt Richtlinienaktionen:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.

Richtlinienaktionen in Security Hub CSPM verwenden das folgende Präfix vor der Aktion:

```
securityhub:
```

Um einem Benutzer beispielsweise die Erlaubnis zu erteilen, Security Hub CSPM zu aktivieren, was eine Aktion ist, die dem `EnableSecurityHub` Betrieb der Security Hub CSPM-API entspricht, nehmen Sie die `securityhub:EnableSecurityHub` Aktion in ihre Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Security Hub CSPM definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.

```
"Action": "securityhub:EnableSecurityHub"
```

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata: Beispiel:

```
"Action": [
      "securityhub:EnableSecurityHub",
      "securityhub:BatchEnableStandards"
```

Sie können auch mehrere Aktionen mithilfe von Platzhaltern (\$1) angeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Get` beginnen, einschließlich der folgenden Aktion:

```
"Action": "securityhub:Get*"
```

Als bewährte Methode sollten Sie jedoch Richtlinien erstellen, die dem Prinzip der geringsten Rechte folgen. Mit anderen Worten, Sie sollten Richtlinien erstellen, die nur die Berechtigungen enthalten, die zum Ausführen einer bestimmten Aufgabe erforderlich sind.

Der Benutzer muss Zugriff auf den `DescribeStandardsControl` Vorgang haben, um auf `BatchGetSecurityControls``BatchGetStandardsControlAssociations`, und `ListStandardsControlAssociations` zugreifen zu können.

Der Benutzer muss Zugriff auf den `UpdateStandardsControls` Vorgang haben, um Zugriff auf`BatchUpdateStandardsControlAssociations`, und zu haben`UpdateSecurityControl`.

Eine Liste der Security Hub CSPM-Aktionen finden Sie unter [Actions defined by AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) in der *Service Authorization* Reference. Beispiele für Richtlinien, die Security Hub CSPM-Aktionen spezifizieren, finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)

## Richtlinienressourcen für Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Unterstützt Richtlinienressourcen:** Nein 

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```

Security Hub CSPM definiert die folgenden Ressourcentypen:
+ Hub (Hub)
+ Produkt
+ *Aggregator für die Suche, auch als regionsübergreifender Aggregator bezeichnet*
+ Automatisierungsregel
+ Konfigurationsrichtlinie

Sie können diese Ressourcentypen in Richtlinien angeben, indem Sie ARNs

Eine Liste der Security Hub CSPM-Ressourcentypen und die jeweilige ARN-Syntax finden Sie unter [Ressourcentypen definiert von AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-resources-for-iam-policies) in der *Service Authorization* Reference. Informationen darüber, welche Aktionen Sie für jeden Ressourcentyp angeben können, finden Sie unter [Aktionen definiert von AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) in der *Service Authorization Reference*. Beispiele für Richtlinien, die Ressourcen spezifizieren, finden Sie unter[Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Schlüssel für Richtlinienbedingungen für Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.

Eine Liste der Security Hub CSPM-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Aktionen definiert](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) von. AWS Security Hub CSPM Beispiele für Richtlinien, die Bedingungsschlüssel verwenden, finden Sie unter[Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Zugriffskontrolllisten (ACLs) in Security Hub CSPM
<a name="security_iam_service-with-iam-acls"></a>

**Unterstützt ACLs**: Nein 

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.

Security Hub CSPM unterstützt nicht ACLs, was bedeutet, dass Sie einer Security Hub CSPM-Ressource keine ACL anhängen können.

## Attributbasierte Zugriffskontrolle (ABAC) mit Security Hub CSPM
<a name="security_iam_service-with-iam-tags"></a>

**Unterstützt ABAC (Tags in Richtlinien):** Ja

Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.

Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.

Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.

*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.

Sie können Tags an Security Hub CSPM-Ressourcen anhängen. Sie können den Zugriff auf Ressourcen auch kontrollieren, indem Sie Tag-Informationen im `Condition` Element einer Richtlinie angeben.

Informationen zum Taggen von Security Hub CSPM-Ressourcen finden Sie unter. [Kennzeichnen von Security Hub Hub-Ressourcen](tagging-resources.md) Ein Beispiel für eine identitätsbasierte Richtlinie, die den Zugriff auf eine Ressource anhand von Tags steuert, finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)

## Temporäre Anmeldeinformationen mit Security Hub CSPM verwenden
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Unterstützt temporäre Anmeldeinformationen:** Ja

Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie den Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.

Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html). 

Security Hub CSPM unterstützt die Verwendung temporärer Anmeldeinformationen.

## Zugriffssitzungen für Security Hub CSPM weiterleiten
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Unterstützt Forward Access Sessions (FAS):** Ja

 Forward Access Sessions (FAS) verwenden die Berechtigungen des Principals, der einen aufruft AWS-Service, kombiniert mit der Anfrage, Anfragen an AWS-Service nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

Beispielsweise sendet Security Hub CSPM FAS-Anfragen an Downstream, AWS-Services wenn Sie Security Hub CSPM in Organizations integrieren AWS Organizations und wenn Sie das delegierte Security Hub CSPM-Administratorkonto für eine Organisation festlegen.

Für andere Aufgaben verwendet Security Hub CSPM eine dienstbezogene Rolle, um Aktionen in Ihrem Namen auszuführen. Einzelheiten zu dieser Rolle finden Sie unter. [Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM](using-service-linked-roles.md)

## Servicerollen für Security Hub CSPM
<a name="security_iam_service-with-iam-roles-service"></a>

Security Hub CSPM übernimmt oder verwendet keine Servicerollen. Um Aktionen in Ihrem Namen durchzuführen, verwendet Security Hub CSPM eine dienstbezogene Rolle. Einzelheiten zu dieser Rolle finden Sie unter. [Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM](using-service-linked-roles.md)

**Warnung**  
Das Ändern der Berechtigungen für eine Servicerolle kann zu Betriebsproblemen bei der Verwendung von Security Hub CSPM führen. Bearbeiten Sie Servicerollen nur, wenn Security Hub CSPM Sie dazu anleitet.

## Serviceverknüpfte Rollen für Security Hub CSPM
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Unterstützt serviceverknüpfte Rollen:** Ja

 Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten. 

Security Hub CSPM verwendet eine dienstbezogene Rolle, um Aktionen in Ihrem Namen durchzuführen. Einzelheiten zu dieser Rolle finden Sie unter. [Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM](using-service-linked-roles.md)

# Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM
<a name="security_iam_id-based-policy-examples"></a>

Standardmäßig sind Benutzer und Rollen nicht berechtigt, Security Hub CSPM-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den -Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.

**Topics**
+ [

## Best Practices für Richtlinien
](#security_iam_service-with-iam-policy-best-practices)
+ [

## Verwenden der Security Hub CSPM-Konsole
](#security_iam_id-based-policy-examples-console)
+ [

## Beispiel: Erteilen der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [

## Beispiel: Erlauben Sie Benutzern, eine Konfigurationsrichtlinie zu erstellen und zu verwalten
](#security_iam_id-based-policy-examples-create-configuration-policy)
+ [

## Beispiel: Erlauben Sie Benutzern, Ergebnisse einzusehen
](#security_iam_id-based-policy-examples-view-findings)
+ [

## Beispiel: Erlauben Sie Benutzern, Automatisierungsregeln zu erstellen und zu verwalten
](#security_iam_id-based-policy-examples-create-automation-rule)

## Best Practices für Richtlinien
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Identitätsbasierte Richtlinien legen fest, ob jemand Security Hub Hub-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

## Verwenden der Security Hub CSPM-Konsole
<a name="security_iam_id-based-policy-examples-console"></a>

Um auf die AWS Security Hub CSPM Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Security Hub CSPM-Ressourcen in Ihrem aufzulisten und anzuzeigen. AWS-Konto Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.

Sie müssen Benutzern, die nur die API AWS CLI oder die API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. AWS Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.

Um sicherzustellen, dass diese Benutzer und Rollen die Security Hub CSPM-Konsole verwenden können, fügen Sie der Entität auch die folgende AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im*IAM-Benutzerhandbuch*:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## Beispiel: Erteilen der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API oder. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Beispiel: Erlauben Sie Benutzern, eine Konfigurationsrichtlinie zu erstellen und zu verwalten
<a name="security_iam_id-based-policy-examples-create-configuration-policy"></a>

Dieses Beispiel zeigt, wie Sie eine IAM-Richtlinie erstellen könnten, die es einem Benutzer ermöglicht, Konfigurationsrichtlinien zu erstellen, anzuzeigen, zu aktualisieren und zu löschen. Diese Beispielrichtlinie ermöglicht es dem Benutzer auch, Richtlinienzuordnungen zu starten, zu beenden und anzuzeigen. Damit diese IAM-Richtlinie funktioniert, muss der Benutzer der delegierte Security Hub CSPM-Administrator für eine Organisation sein.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAndUpdateConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:CreateConfigurationPolicy",
                "securityhub:UpdateConfigurationPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:GetConfigurationPolicy",
                "securityhub:ListConfigurationPolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:DeleteConfigurationPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewConfigurationPolicyAssociation",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchGetConfigurationPolicyAssociations",
                "securityhub:GetConfigurationPolicyAssociation",
                "securityhub:ListConfigurationPolicyAssociations"
            ],
            "Resource": "*"
        },
        {
            "Sid": "UpdateConfigurationPolicyAssociation",
            "Effect": "Allow",
            "Action": [
                "securityhub:StartConfigurationPolicyAssociation",
                "securityhub:StartConfigurationPolicyDisassociation"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Beispiel: Erlauben Sie Benutzern, Ergebnisse einzusehen
<a name="security_iam_id-based-policy-examples-view-findings"></a>

Dieses Beispiel zeigt, wie Sie eine IAM-Richtlinie erstellen könnten, die es einem Benutzer ermöglicht, die CSPM-Ergebnisse von Security Hub einzusehen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReviewFindings",
            "Effect": "Allow",
            "Action": [
                "securityhub:GetFindings"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Beispiel: Erlauben Sie Benutzern, Automatisierungsregeln zu erstellen und zu verwalten
<a name="security_iam_id-based-policy-examples-create-automation-rule"></a>

Dieses Beispiel zeigt, wie Sie eine IAM-Richtlinie erstellen könnten, die es einem Benutzer ermöglicht, Security Hub CSPM-Automatisierungsregeln zu erstellen, anzuzeigen, zu aktualisieren und zu löschen. Damit diese IAM-Richtlinie funktioniert, muss der Benutzer ein Security Hub CSPM-Administrator sein. Um Berechtigungen einzuschränken — z. B. um einem Benutzer zu erlauben, nur Automatisierungsregeln einzusehen — können Sie die Berechtigungen zum Erstellen, Aktualisieren und Löschen entfernen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAndUpdateAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:CreateAutomationRule",
                "securityhub:BatchUpdateAutomationRules"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchGetAutomationRules",
                "securityhub:ListAutomationRules"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchDeleteAutomationRules"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM
<a name="using-service-linked-roles"></a>

AWS Security Hub CSPM [verwendet eine dienstverknüpfte AWS Identity and Access Management (IAM) Rolle mit dem Namen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) `AWSServiceRoleForSecurityHub` Bei dieser serviceverknüpften Rolle handelt es sich um eine IAM-Rolle, die direkt mit Security Hub CSPM verknüpft ist. Es ist von Security Hub CSPM vordefiniert und beinhaltet alle Berechtigungen, die Security Hub CSPM benötigt, um andere anzurufen AWS-Services und AWS Ressourcen in Ihrem Namen zu überwachen. Security Hub CSPM verwendet diese dienstbezogene Rolle in allen Bereichen, in AWS-Regionen denen Security Hub CSPM verfügbar ist.

Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Security Hub CSPM, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Security Hub CSPM definiert die Berechtigungen seiner dienstbezogenen Rolle, und sofern nicht anders definiert, kann nur Security Hub CSPM die Rolle übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und Sie können diese Berechtigungsrichtlinie keiner anderen IAM-Entität zuordnen.

Um die Details der serviceverknüpften Rolle zu überprüfen, können Sie die Security Hub CSPM-Konsole verwenden. **Wählen Sie im Navigationsbereich unter Einstellungen die Option **Allgemein** aus.** Wählen Sie dann im Abschnitt **Dienstberechtigungen** die Option **Dienstberechtigungen anzeigen** aus.

Sie können die dienstverknüpfte Rolle Security Hub CSPM erst löschen, nachdem Sie Security Hub CSPM in allen Regionen deaktiviert haben, in denen sie aktiviert ist. Dadurch werden Ihre Security Hub CSPM-Ressourcen geschützt, da Sie nicht versehentlich Zugriffsberechtigungen entfernen können.

****Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie im *IAM-Benutzerhandbuch unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte* Dienstverknüpfte Rollen nach den Diensten, für die Ja steht.**** Wählen Sie **Ja** mit einem Link aus, um die Dokumentation der dienstbezogenen Rollen für diesen Dienst zu lesen.

**Topics**
+ [

## Dienstbezogene Rollenberechtigungen für Security Hub CSPM
](#slr-permissions)
+ [

## Eine serviceverknüpfte Rolle für Security Hub CSPM erstellen
](#create-slr)
+ [

## Eine serviceverknüpfte Rolle für Security Hub CSPM bearbeiten
](#edit-slr)
+ [

## Löschen einer serviceverknüpften Rolle für Security Hub CSPM
](#delete-slr)
+ [

## Servicebezogene Rolle für AWS Security Hub V2
](#slr-permissions-v2)

## Dienstbezogene Rollenberechtigungen für Security Hub CSPM
<a name="slr-permissions"></a>

Security Hub CSPM verwendet die benannte dienstverknüpfte Rolle. `AWSServiceRoleForSecurityHub` Es handelt sich um eine dienstbezogene Rolle, die für den Zugriff AWS Security Hub CSPM auf Ihre Ressourcen erforderlich ist. Diese dienstbezogene Rolle ermöglicht es Security Hub CSPM, Aufgaben wie das Empfangen von Ergebnissen von anderen auszuführen AWS-Services und die erforderliche AWS Config Infrastruktur für die Durchführung von Sicherheitsprüfungen für Kontrollen zu konfigurieren. Die serviceverknüpfte Rolle `AWSServiceRoleForSecurityHub` vertraut dem Service `securityhub.amazonaws.com`, sodass dieser die Rolle annehmen kann.

Die serviceverknüpfte Rolle `AWSServiceRoleForSecurityHub` verwendet die verwaltete Richtlinie [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy).

Sie müssen einer IAM-Identität (z. B. einer Rolle, Gruppe oder einem Benutzer) Berechtigungen erteilen, um eine dienstverknüpfte Rolle zu erstellen, zu bearbeiten oder zu löschen. Damit die `AWSServiceRoleForSecurityHub` serviceverknüpfte Rolle erfolgreich erstellt werden kann, muss die IAM-Identität, die Sie für den Zugriff auf Security Hub CSPM verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu erteilen, fügen Sie die folgende Richtlinie an die IAM-Identität an.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## Eine serviceverknüpfte Rolle für Security Hub CSPM erstellen
<a name="create-slr"></a>

Die `AWSServiceRoleForSecurityHub` serviceverknüpfte Rolle wird automatisch erstellt, wenn Sie Security Hub CSPM zum ersten Mal aktivieren oder wenn Sie Security Hub CSPM in einer Region aktivieren, in der Sie es zuvor nicht aktiviert haben. Sie können die `AWSServiceRoleForSecurityHub` serviceverknüpfte Rolle auch manuell mithilfe der IAM-Konsole, der IAM-CLI oder der IAM-API erstellen. Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*.

**Wichtig**  
Die dienstverknüpfte Rolle, die für ein Security Hub CSPM-Administratorkonto erstellt wurde, gilt nicht für zugehörige Security Hub CSPM-Mitgliedskonten.

## Eine serviceverknüpfte Rolle für Security Hub CSPM bearbeiten
<a name="edit-slr"></a>

Security Hub CSPM erlaubt es Ihnen nicht, die `AWSServiceRoleForSecurityHub` dienstverknüpfte Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen einer serviceverknüpften Rolle für Security Hub CSPM
<a name="delete-slr"></a>

Wenn Sie ein Feature oder einen Service nicht mehr benötigen, die bzw. der eine serviceverknüpfte Rolle erfordert, sollten Sie die Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird.

Wenn Sie Security Hub CSPM deaktivieren, löscht Security Hub CSPM die `AWSServiceRoleForSecurityHub` dienstverknüpfte Rolle nicht automatisch für Sie. Wenn Sie Security Hub CSPM erneut aktivieren, kann der Dienst die bestehende dienstverknüpfte Rolle wieder verwenden. Wenn Sie Security Hub CSPM nicht mehr verwenden müssen, können Sie die serviceverknüpfte Rolle manuell löschen.

**Wichtig**  
Bevor Sie die `AWSServiceRoleForSecurityHub` serviceverknüpfte Rolle löschen, müssen Sie zunächst Security Hub CSPM in allen Regionen deaktivieren, in denen sie aktiviert ist. Weitere Informationen finden Sie unter [Security Hub CSPM deaktivieren](securityhub-disable.md). Wenn Security Hub CSPM nicht deaktiviert ist, wenn Sie versuchen, die serviceverknüpfte Rolle zu löschen, schlägt der Löschvorgang fehl.

Um die `AWSServiceRoleForSecurityHub` serviceverknüpfte Rolle zu löschen, können Sie die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.

## Servicebezogene Rolle für AWS Security Hub V2
<a name="slr-permissions-v2"></a>

 verwendet die benannte dienstverknüpfte Rolle. `AWSServiceRoleForSecurityHubV2` Diese dienstbezogene Rolle ermöglicht die Verwaltung von AWS Config Regeln und Ressourcen für Ihre Organisation und in Ihrem Namen. Die serviceverknüpfte Rolle `AWSServiceRoleForSecurityHubV2` vertraut dem Service `securityhub.amazonaws.com`, sodass dieser die Rolle annehmen kann.

Die serviceverknüpfte Rolle `AWSServiceRoleForSecurityHubV2` verwendet die verwaltete Richtlinie [`AWSSecurityHubV2ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy).

**Details zu Berechtigungen**  
 Diese Richtlinie umfasst die folgenden Berechtigungen: 
+  `cloudwatch`— Ermöglicht der Rolle, Metrikdaten abzurufen, um die Messfunktionen für Ressourcen zu unterstützen. 
+  `config`— Ermöglicht der Rolle, serviceverknüpfte Konfigurationsrekorder für Ressourcen zu verwalten, einschließlich der Unterstützung für globale AWS Config Rekorder. 
+  `ecr`— Ermöglicht der Rolle, Informationen über Amazon Elastic Container Registry-Images und Repositorys abzurufen, um Messfunktionen zu unterstützen. 
+  `iam`— Ermöglicht der Rolle, die serviceverknüpfte Rolle für die Erfassung zu erstellen AWS Config und Kontoinformationen abzurufen, um Messfunktionen zu unterstützen. 
+  `lambda`— Ermöglicht der Rolle das Abrufen von AWS Lambda Funktionsinformationen zur Unterstützung von Messfunktionen. 
+  `organizations`— Ermöglicht der Rolle, Informationen zu Konten und Organisationseinheiten (OU) für eine Organisation abzurufen. 
+  `securityhub`— Ermöglicht der Rolle, die Konfiguration zu verwalten. 
+  `tag`— Ermöglicht der Rolle, Informationen über Ressourcen-Tags abzurufen. 

Sie müssen einer IAM-Identität (z. B. einer Rolle, Gruppe oder einem Benutzer) Berechtigungen erteilen, um eine dienstbezogene Rolle zu erstellen, zu bearbeiten oder zu löschen. Damit die `AWSServiceRoleForSecurityHubV2` dienstverknüpfte Rolle erfolgreich erstellt werden kann, muss die IAM-Identität, die Sie für den Zugriff verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu erteilen, fügen Sie die folgende Richtlinie an die IAM-Identität an.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

### Eine serviceverknüpfte Rolle für AWS Security Hub V2 erstellen
<a name="create-slr-v2"></a>

Die `AWSServiceRoleForSecurityHubV2` dienstverknüpfte Rolle wird automatisch erstellt, wenn Sie sie zum ersten Mal aktivieren oder wenn Sie sie in einer Region aktivieren, in der Sie sie zuvor nicht aktiviert haben. Sie können die `AWSServiceRoleForSecurityHubV2` serviceverknüpfte Rolle auch manuell mithilfe der IAM-Konsole, der IAM-CLI oder der IAM-API erstellen. Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*.

**Wichtig**  
Die dienstverknüpfte Rolle, die für ein Administratorkonto erstellt wurde, gilt nicht für zugehörige Mitgliedskonten.

### Eine serviceverknüpfte Rolle für AWS Security Hub V2 bearbeiten
<a name="edit-slr-v2"></a>

 erlaubt Ihnen nicht, die `AWSServiceRoleForSecurityHubV2` dienstverknüpfte Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

### Löschen einer serviceverknüpften Rolle für AWS Security Hub V2
<a name="delete-slr-v2"></a>

Wenn Sie ein Feature oder einen Service nicht mehr benötigen, die bzw. der eine serviceverknüpfte Rolle erfordert, sollten Sie die Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird.

Wenn Sie sie deaktivieren, wird die `AWSServiceRoleForSecurityHubV2` dienstverknüpfte Rolle nicht automatisch für Sie gelöscht. Wenn Sie sie erneut aktivieren, kann der Dienst die vorhandene dienstverknüpfte Rolle wieder verwenden. Wenn Sie sie nicht mehr verwenden müssen, können Sie die dienstverknüpfte Rolle manuell löschen.

**Wichtig**  
Bevor Sie die `AWSServiceRoleForSecurityHubV2` dienstverknüpfte Rolle löschen, müssen Sie sie zunächst in allen Regionen deaktivieren, in denen sie aktiviert ist. Weitere Informationen finden Sie unter [Security Hub CSPM deaktivieren](securityhub-disable.md). Wenn Sie versuchen, die serviceverknüpfte Rolle zu löschen und noch nicht deaktiviert wurde, schlägt das Löschen fehl.

Um die `AWSServiceRoleForSecurityHubV2` serviceverknüpfte Rolle zu löschen, können Sie die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.

# AWS verwaltete Richtlinien für Security Hub
<a name="security-iam-awsmanpol"></a>

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird. AWS AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.



## AWS verwaltete Richtlinie: AWSSecurityHubFullAccess
<a name="security-iam-awsmanpol-awssecurityhubfullaccess"></a>

Sie können die `AWSSecurityHubFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt Administratorberechtigungen, die einem Principal vollen Zugriff auf alle Security Hub CSPM-Aktionen gewähren. Diese Richtlinie muss einem Prinzipal zugewiesen werden, bevor er Security Hub CSPM manuell für sein Konto aktiviert. Principals mit diesen Berechtigungen können beispielsweise den Status der Ergebnisse sowohl einsehen als auch aktualisieren. Sie können auch benutzerdefinierte Einblicke konfigurieren, Integrationen aktivieren sowie Standards und Kontrollen aktivieren und deaktivieren. Principals für ein Administratorkonto können auch Mitgliedskonten verwalten.

**Details zu Berechtigungen**

Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `securityhub`— Ermöglicht Principals vollen Zugriff auf alle Security Hub CSPM-Aktionen.
+ `guardduty`— Ermöglicht Prinzipalen die vollständige Lebenszyklusverwaltung eines Melders, die Verwaltung der Organisation, die Verwaltung von Mitgliedskonten und die organisationsweite Konfiguration in Amazon. GuardDuty Dazu gehören API-Aktionen: GetDetector,,,, ListDetector, CreateDetector, UpdateDetector, DeleteDetector, EnableOrganizationAdminAccount. ListOrganizationAdminAccounts CreateMembers UpdateOrganizationConfiguration DescribeOrganizationConfiguration 
+ `iam`— Ermöglicht Prinzipalen, eine dienstbezogene Rolle für Security Hub CSPM und Security Hub zu erstellen und Rollen, Richtlinien und Richtlinienversionen abzurufen.
+ `inspector`— Ermöglicht es Prinzipalen, Informationen über den Kontostatus abzurufen, sie zu aktivieren oder zu deaktivieren, die Administratorverwaltung zu delegieren und die Organisationskonfigurationsverwaltung in Amazon Inspector durchzuführen. Dazu gehören API-Aktionen: BatchGetAccountStatus, Aktivieren, Deaktivieren,,, EnableDelegatedAdminAccount, DisableDelegatedAdminAccount ListDelegatedAdminAccounts, UpdateOrganizationConfiguration. DescribeOrganizationConfiguration
+ `pricing`— Ermöglicht es Auftraggebern, eine Preisliste mit Produkten AWS-Services zu erhalten.
+ `account`— Ermöglicht Prinzipalen das Abrufen von Informationen zu Kontoregionen, um die Regionsverwaltung in Security Hub zu unterstützen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*

## AWS verwaltete Richtlinie: AWSSecurityHubReadOnlyAccess
<a name="security-iam-awsmanpol-awssecurityhubreadonlyaccess"></a>

Sie können die `AWSSecurityHubReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt nur Leseberechtigungen, die es Benutzern ermöglichen, Informationen in Security Hub CSPM einzusehen. Principals, denen diese Richtlinie beigefügt ist, können keine Updates in Security Hub CSPM vornehmen. Principals mit diesen Berechtigungen können beispielsweise die mit ihrem Konto verknüpfte Ergebnisliste einsehen, den Status eines Fundes jedoch nicht ändern. Sie können die Ergebnisse von Insights einsehen, aber keine benutzerdefinierten Insights erstellen oder konfigurieren. Sie können keine Steuerungen oder Produktintegrationen konfigurieren.

**Details zu Berechtigungen**

Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `securityhub`— Ermöglicht Benutzern das Ausführen von Aktionen, bei denen eine Liste von Artikeln oder Details zu einem Artikel zurückgegeben wird. Dazu gehören API-Operationen, die mit `Get``List`, oder beginnen`Describe`.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.

## AWS verwaltete Richtlinie: AWSSecurityHubOrganizationsAccess
<a name="security-iam-awsmanpol-awssecurityhuborganizationsaccess"></a>

 Sie können die `AWSSecurityHubOrganizationsAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. 

Diese Richtlinie gewährt Administratorberechtigungen zur Aktivierung und Verwaltung von Security Hub, Security Hub CSPM, Amazon GuardDuty und Amazon Inspector für eine Organisation in. AWS Organizations Die Berechtigungen für diese Richtlinie ermöglichen es dem Organisationsverwaltungskonto, das delegierte Administratorkonto für Security Hub, Security Hub CSPM, Amazon und Amazon GuardDuty Inspector zu bestimmen. Sie ermöglichen es dem delegierten Administratorkonto auch, Organisationskonten als Mitgliedskonten zu aktivieren. 

Diese Richtlinie bietet nur Berechtigungen für AWS Organizations. Das Organisationsverwaltungskonto und das delegierte Administratorkonto erfordern ebenfalls Berechtigungen für zugehörige Aktionen. Diese Berechtigungen können mithilfe der `AWSSecurityHubFullAccess` verwalteten Richtlinie erteilt werden. 

Für das Erstellen oder Aktualisieren einer delegierten Administratorrichtlinie in einem Verwaltungskonto sind zusätzliche Berechtigungen erforderlich, die in dieser Richtlinie nicht bereitgestellt werden. Um diese Aktionen durchzuführen, wird empfohlen, Berechtigungen für die AWSOrganizations FullAccess Richtlinie hinzuzufügen `organizations:PutResourcePolicy` oder sie anzuhängen. 

**Details zu Berechtigungen**

Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `organizations:ListAccounts`— Ermöglicht Prinzipalen das Abrufen der Liste der Konten, die Teil einer Organisation sind.
+ `organizations:DescribeOrganization`— Ermöglicht Prinzipalen das Abrufen von Informationen über die Organisation.
+ `organizations:ListRoots`— Ermöglicht Prinzipalen, das Stammverzeichnis einer Organisation aufzulisten.
+ `organizations:ListDelegatedAdministrators`— Ermöglicht Prinzipalen, den delegierten Administrator einer Organisation aufzulisten.
+ `organizations:ListAWSServiceAccessForOrganization`— Ermöglicht Prinzipalen, diejenigen aufzulisten AWS-Services , die eine Organisation verwendet.
+ `organizations:ListOrganizationalUnitsForParent`— Ermöglicht Prinzipalen, die untergeordneten Organisationseinheiten (OU) einer übergeordneten OU aufzulisten.
+ `organizations:ListAccountsForParent`— Ermöglicht Prinzipalen, die untergeordneten Konten einer übergeordneten Organisationseinheit aufzulisten.
+  `organizations:ListParents`— Führt die Stamm- oder Organisationseinheiten (OUs) auf, die der angegebenen untergeordneten Organisationseinheit oder dem angegebenen untergeordneten Konto als unmittelbare übergeordnete Einheit dienen. 
+ `organizations:DescribeAccount` – Ermöglicht Prinzipalen den Abruf von Informationen über ein Konto in der Organisation.
+ `organizations:DescribeOrganizationalUnit`— Ermöglicht Prinzipalen das Abrufen von Informationen über eine Organisationseinheit in der Organisation.
+  `organizations:ListPolicies`— Ruft die Liste aller Richtlinien in einer Organisation eines bestimmten Typs ab. 
+  `organizations:ListPoliciesForTarget`— Führt die Richtlinien auf, die direkt mit dem angegebenen Zielstamm, der Organisationseinheit (OU) oder dem angegebenen Konto verknüpft sind. 
+  `organizations:ListTargetsForPolicy`— Führt alle Stammverzeichnisse, Organisationseinheiten (OUs) und Konten auf, denen die angegebene Richtlinie zugeordnet ist. 
+ `organizations:EnableAWSServiceAccess`— Ermöglicht Prinzipalen, die Integration mit Organizations zu ermöglichen.
+ `organizations:RegisterDelegatedAdministrator`— Ermöglicht es den Prinzipalen, das delegierte Administratorkonto festzulegen.
+ `organizations:DeregisterDelegatedAdministrator`— Ermöglicht Prinzipalen, das delegierte Administratorkonto zu entfernen.
+  `organizations:DescribePolicy`— Ruft Informationen zu einer Richtlinie ab. 
+  `organizations:DescribeEffectivePolicy`— Gibt den Inhalt der gültigen Richtlinie für den angegebenen Richtlinientyp und das angegebene Konto zurück. 
+  `organizations:CreatePolicy`— Erstellt eine Richtlinie eines bestimmten Typs, die Sie einem Stammkonto, einer Organisationseinheit (OU) oder einem einzelnen AWS Konto zuordnen können. 
+  `organizations:UpdatePolicy`— Aktualisiert eine bestehende Richtlinie mit einem neuen Namen, einer neuen Beschreibung oder einem neuen Inhalt. 
+  `organizations:DeletePolicy`— Löscht die angegebene Richtlinie aus Ihrer Organisation. 
+  `organizations:AttachPolicy`— Fügt eine Richtlinie einem Stammkonto, einer Organisationseinheit (OU) oder einem Einzelkonto hinzu. 
+  `organizations:DetachPolicy`— Trennt eine Richtlinie von einem Zielstamm, einer Organisationseinheit (OU) oder einem Zielkonto. 
+  `organizations:EnablePolicyType`— Aktiviert einen Richtlinientyp in einem Stamm. 
+  `organizations:DisablePolicyType`— Deaktiviert einen Organisationsrichtlinientyp in einem Stamm. 
+  `organizations:TagResource`— Fügt einer angegebenen Ressource ein oder mehrere Tags hinzu. 
+  `organizations:UntagResource`— Entfernt alle Tags mit den angegebenen Schlüsseln aus einer angegebenen Ressource. 
+  `organizations:ListTagsForResource`— Listet Tags auf, die an eine angegebene Ressource angehängt sind. 
+  `organizations:DescribeResourcePolicy`— Ruft Informationen über eine Ressourcenrichtlinie ab. 

Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*

## AWS verwaltete Richtlinie: AWSSecurityHubServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubservicerolepolicy"></a>

Sie können `AWSSecurityHubServiceRolePolicy` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es Security Hub CSPM ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM](using-service-linked-roles.md).

Diese Richtlinie gewährt Administratorberechtigungen, die es der dienstbezogenen Rolle ermöglichen, Aufgaben wie die Ausführung von Sicherheitsprüfungen für Security Hub CSPM-Steuerelemente auszuführen.

**Details zu Berechtigungen**

Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `cloudtrail`— Ruft Informationen über Wanderwege ab. CloudTrail 
+ `cloudwatch`— Aktuelle CloudWatch Alarme abrufen.
+ `logs`— Rufen Sie metrische Filter für CloudWatch Protokolle ab.
+ `sns`— Ruft die Liste der Abonnements für ein SNS-Thema ab.
+ `config`— Ruft Informationen zu Konfigurationsrekordern, Ressourcen und AWS Config Regeln ab. Ermöglicht der Rolle, die mit dem Service verknüpft ist, außerdem das Erstellen und Löschen von AWS Config Regeln sowie das Ausführen von Evaluierungen anhand der Regeln.
+ `iam`— Abrufen und Generieren von Berichten über Anmeldeinformationen für Konten.
+ `organizations`— Rufen Sie Informationen zu Konten und Organisationseinheiten (OU) für eine Organisation ab.
+ `securityhub`— Rufen Sie Informationen darüber ab, wie der Security Hub CSPM-Dienst, die Standards und die Kontrollen konfiguriert sind.
+ `tag`— Ruft Informationen über Ressourcen-Tags ab.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.

## AWS verwaltete Richtlinie: AWSSecurityHubV2ServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubv2servicerolepolicy"></a>

**Anmerkung**  
 Security Hub befindet sich in der Vorschauversion und kann sich ändern. 

Diese Richtlinie ermöglicht es Security Hub, AWS Config Regeln und Security Hub Hub-Ressourcen für Ihre Organisation und in Ihrem Namen zu verwalten. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es dem Dienst ermöglicht, Aktionen in Ihrem Namen durchzuführen. Sie können diese Richtlinie nicht an Ihre IAM-Identitäten anfügen. Weitere Informationen finden Sie unter [Mit Diensten verknüpfte Rollen für AWS Security Hub CSPM](using-service-linked-roles.md). 

**Details zu Berechtigungen**  
 Diese Richtlinie umfasst die folgenden Berechtigungen: 
+  `cloudwatch`— Rufen Sie Metrikdaten ab, um Messfunktionen für Security Hub Hub-Ressourcen zu unterstützen. 
+  `config`— Verwaltung von serviceverknüpften Konfigurationsrekordern für Security Hub Hub-Ressourcen, einschließlich Unterstützung für globale Config-Recorder. 
+  `ecr`— Rufen Sie Informationen über Amazon Elastic Container Registry-Images und Repositorys ab, um Messfunktionen zu unterstützen. 
+  `iam`— Erstellen Sie die serviceverknüpfte Rolle für AWS Config und rufen Sie Kontoinformationen ab, um Messfunktionen zu unterstützen. 
+  `lambda`— Rufen Sie AWS Lambda Funktionsinformationen ab, um Messfunktionen zu unterstützen. 
+  `organizations`— Rufen Sie Informationen zu Konten und Organisationseinheiten (OU) für eine Organisation ab. 
+  `securityhub`— Verwaltet die Security Hub Hub-Konfiguration. 
+  `tag`— Ruft Informationen über Ressourcen-Tags ab. 

Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.

## Security Hub Hub-Updates für AWS verwaltete Richtlinien
<a name="security-iam-awsmanpol-updates"></a>

Die folgende Tabelle enthält Einzelheiten zu Aktualisierungen der AWS verwalteten Richtlinien für AWS Security Hub und Security Hub CSPM, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der [Security Hub Hub-Dokumentverlaufsseite](doc-history.md), um automatische Benachrichtigungen über Aktualisierungen der Richtlinien zu erhalten.








| Änderungen | Beschreibung | Date | 
| --- | --- | --- | 
|   [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – Richtlinie aktualisieren   |  Security Hub hat die Richtlinie aktualisiert, um Berechtigungen zur Beschreibung von Ressourcenrichtlinien zur Unterstützung von Security Hub Hub-Funktionen hinzuzufügen. Security Hub befindet sich in der Vorschauversion und kann sich ändern.   | 12. November 2025 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – Richtlinie aktualisieren   |  Security Hub hat die Richtlinie aktualisiert und Funktionen zur Verwaltung GuardDuty, Amazon Inspector und Kontoverwaltung hinzugefügt, um die Funktionen von Security Hub zu unterstützen. Security Hub befindet sich in der Vorschauversion und kann sich ändern.   | 17. November 2025 | 
|   [AWSSecurityHubV2 ServiceRolePolicy — Aktualisierte](#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) Richtlinie   |  Security Hub hat die Richtlinie aktualisiert, um Messfunktionen für Amazon Elastic Container Registry und Amazon CloudWatch hinzuzufügen und Security Hub Hub-Funktionen AWS Identity and Access Management zu unterstützen. AWS Lambda Das Update fügte auch Unterstützung für globale AWS Config Rekorder hinzu. Security Hub befindet sich in der Vorschauversion und kann sich ändern.   | 5. November 2025 | 
|  [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – Aktualisierung auf eine bestehende Richtlinie  | Security Hub hat der Richtlinie neue Berechtigungen hinzugefügt. Die Berechtigungen ermöglichen es der Organisationsleitung, Security Hub und Security Hub CSPM für eine Organisation zu aktivieren und zu verwalten.  | 17. Juni 2025 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – Aktualisierung auf eine bestehende Richtlinie  |  Security Hub CSPM hat neue Berechtigungen hinzugefügt, die es Prinzipalen ermöglichen, eine dienstbezogene Rolle für Security Hub zu erstellen.  | 17. Juni 2025 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Aktualisierung einer bestehenden Richtlinie  | Security Hub CSPM hat die Richtlinie aktualisiert, um Preisdetails für AWS-Services und Produkte zu erhalten.  | 24. April 2024 | 
| [AWSSecurityHubReadOnlyAccess](#security-iam-awsmanpol-awssecurityhubreadonlyaccess)— Aktualisierung einer bestehenden Richtlinie  | Security Hub CSPM hat diese verwaltete Richtlinie aktualisiert, indem ein Sid Feld hinzugefügt wurde.  | 22. Februar 2024 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Aktualisierung einer bestehenden Richtlinie  | Security Hub CSPM hat die Richtlinie aktualisiert, sodass festgestellt werden kann, ob Amazon GuardDuty und Amazon Inspector in einem Konto aktiviert sind. Dies hilft Kunden dabei, sicherheitsrelevante Informationen aus mehreren zusammenzuführen. AWS-Services | 16. November 2023 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Aktualisierung einer bestehenden Richtlinie  | Security Hub CSPM hat die Richtlinie aktualisiert, um zusätzliche Berechtigungen für den schreibgeschützten Zugriff auf delegierte Administratorfunktionen zu AWS Organizations gewähren. Dazu gehören Details wie das Stammverzeichnis, die Organisationseinheiten (OUs), die Konten, die Organisationsstruktur und der Dienstzugriff.  | 16. November 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie  | Security Hub CSPM hat die UpdateSecurityControl Berechtigungen BatchGetSecurityControlsDisassociateFromAdministratorAccount, und zum Lesen und Aktualisieren anpassbarer Sicherheitskontrolleigenschaften hinzugefügt.  | 26. November 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie  | Security Hub CSPM hat die tag:GetResources Erlaubnis hinzugefügt, Ressourcen-Tags zu lesen, die sich auf Ergebnisse beziehen.  | 7. November 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie  | Security Hub CSPM hat die BatchGetStandardsControlAssociations Erlaubnis hinzugefügt, Informationen über den Aktivierungsstatus einer Steuerung in einem Standard abzurufen.  | 27. September 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie  | Security Hub CSPM hat neue Berechtigungen zum Abrufen von AWS Organizations Daten sowie zum Lesen und Aktualisieren von Security Hub CSPM-Konfigurationen, einschließlich Standards und Kontrollen, hinzugefügt.  | 20. September 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie  | Security Hub CSPM hat die bestehende config:DescribeConfigRuleEvaluationStatus Berechtigung in eine andere Erklärung innerhalb der Richtlinie verschoben. Die config:DescribeConfigRuleEvaluationStatus Erlaubnis wird jetzt auf alle Ressourcen angewendet.  | 17. März 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie  |  Security Hub CSPM hat die bestehende config:PutEvaluations Berechtigung in eine andere Erklärung innerhalb der Richtlinie verschoben. Die config:PutEvaluations Erlaubnis wird jetzt auf alle Ressourcen angewendet.  | 14. Juli 2021 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Aktualisierung auf eine bestehende Richtlinie  | Security Hub CSPM hat eine neue Berechtigung hinzugefügt, die es der serviceverknüpften Rolle ermöglicht, Bewertungsergebnisse zu liefern. AWS Config | 29. Juni 2021 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy)— Zur Liste der verwalteten Richtlinien hinzugefügt  | Es wurden Informationen zur verwalteten Richtlinie hinzugefügt AWSSecurityHubServiceRolePolicy, die von der serviceverknüpften Rolle Security Hub CSPM verwendet wird.  | 11. Juni 2021 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Neue Richtlinie  | Security Hub CSPM hat eine neue Richtlinie hinzugefügt, die Berechtigungen gewährt, die für die Security Hub CSPM-Integration mit Organizations erforderlich sind.  | 15. März 2021 | 
| Security Hub CSPM hat begonnen, Änderungen zu verfolgen  | Security Hub CSPM begann, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen.  | 15. März 2021 | 

# Fehlerbehebung bei AWS Security Hub CSPM Identität und Zugriff
<a name="security_iam_troubleshoot"></a>

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS Security Hub CSPM und IAM auftreten können.

**Topics**
+ [

## Ich bin nicht berechtigt, eine Aktion in Security Hub CSPM durchzuführen
](#security_iam_troubleshoot-no-permissions)
+ [

## Ich bin nicht berechtigt, iam auszuführen: PassRole
](#security_iam_troubleshoot-passrole)
+ [

## Ich möchte programmatischen Zugriff auf Security Hub CSPM
](#security_iam_troubleshoot-access-keys)
+ [

## Ich bin Administrator und möchte anderen den Zugriff auf Security Hub CSPM ermöglichen
](#security_iam_troubleshoot-admin-delegate)
+ [

## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Security Hub CSPM-Ressourcen ermöglichen
](#security_iam_troubleshoot-cross-account-access)

## Ich bin nicht berechtigt, eine Aktion in Security Hub CSPM durchzuführen
<a name="security_iam_troubleshoot-no-permissions"></a>

Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

Der folgende Beispielfehler tritt auf, wenn der Benutzer `mateojackson` versucht, die Konsole zu verwenden, um Details zu einem anzuzeigen, *widget* aber nicht über die `securityhub:GetWidget` entsprechenden Berechtigungen verfügt.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget
```

In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `my-example-widget` auf die Ressource `securityhub:GetWidget` zugreifen zu können.

## Ich bin nicht berechtigt, iam auszuführen: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Security Hub übergeben können.

Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.

Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Security Hub auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich möchte programmatischen Zugriff auf Security Hub CSPM
<a name="security_iam_troubleshoot-access-keys"></a>

Benutzer benötigen programmatischen Zugriff, wenn sie mit AWS außerhalb des interagieren möchten. AWS-Managementkonsole Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt von der Art des Benutzers ab, der zugreift. AWS

Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.


****  

| Welcher Benutzer benötigt programmgesteuerten Zugriff? | Bis | Von | 
| --- | --- | --- | 
| IAM | (Empfohlen) Verwenden Sie Konsolenanmeldeinformationen als temporäre Anmeldeinformationen, um programmatische Anfragen an AWS CLI AWS SDKs, oder zu signieren. AWS APIs |  Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 
|  Mitarbeiteridentität (Benutzer, die in IAM Identity Center verwaltet werden)  | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren. |  Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 
| IAM | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Folgen Sie den Anweisungen unter [Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) im IAM-Benutzerhandbuch. | 
| IAM | (Nicht empfohlen)Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs |  Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 

## Ich bin Administrator und möchte anderen den Zugriff auf Security Hub CSPM ermöglichen
<a name="security_iam_troubleshoot-admin-delegate"></a>

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in: AWS IAM Identity Center

  Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

  Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
  + Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
  + (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.

## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Security Hub CSPM-Ressourcen ermöglichen
<a name="security_iam_troubleshoot-cross-account-access"></a>

Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.

Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Security Hub diese Funktionen unterstützt, finden Sie unter[So funktioniert Security Hub mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im [IAM-Benutzerhandbuch unter Zugriff auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

# Überprüfung der Einhaltung der Vorschriften für AWS Security Hub CSPM
<a name="securityhub-compliance"></a>

Informationen darüber, ob AWS-Service ein in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter [AWS-Services Umfang nach Compliance-Programm unter Umfang nach Compliance-Programm AWS-Services](https://aws.amazon.com/compliance/services-in-scope/) das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .

Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).

Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).

# Resilienz im AWS Security Hub
<a name="disaster-recovery-resiliency"></a>

Die AWS globale Infrastruktur basiert auf Availability AWS-Regionen Zones. Regionen stellen mehrere physisch getrennte und isolierte Availability Zones bereit, die über hoch redundante Netzwerke mit niedriger Latenz und hohen Durchsätzen verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.

Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).

# Sicherheit der Infrastruktur in AWS Security Hub CSPM
<a name="infrastructure-security"></a>

Als verwalteter Dienst AWS Security Hub CSPM ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.

Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Security Hub CSPM zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

# AWS Security Hub CSPM und Schnittstellen-VPC-Endpunkte ()AWS PrivateLink
<a name="security-vpc-endpoints"></a>

Sie können eine private Verbindung zwischen Ihrer VPC herstellen und AWS Security Hub CSPM einen *VPC-Schnittstellen-Endpunkt* erstellen. Schnittstellenendpunkte werden mit einer Technologie betrieben [AWS PrivateLink](https://aws.amazon.com/privatelink), mit der Sie privat auf Security Hub CSPM zugreifen können, APIs ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS Direct Connect-Verbindung zu benötigen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Security Hub APIs CSPM zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und Security Hub CSPM verlässt das Amazon-Netzwerk nicht. 

Jeder Schnittstellenendpunkt wird durch eine oder mehrere [Elastic-Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) in Ihren Subnetzen dargestellt. Weitere Informationen finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) im *Amazon Virtual Private Cloud Guide*. 

## Überlegungen zu Security Hub CSPM VPC-Endpunkten
<a name="vpc-endpoint-considerations"></a>

Bevor Sie einen VPC-Schnittstellen-Endpunkt für Security Hub CSPM einrichten, stellen Sie sicher, dass Sie die Voraussetzungen und andere Informationen im [Amazon Virtual Private](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) Cloud Guide lesen. 

Security Hub CSPM unterstützt Aufrufe aller API-Aktionen von Ihrer VPC aus. 

## Einen VPC-Schnittstellen-Endpunkt für Security Hub CSPM erstellen
<a name="vpc-endpoint-create"></a>

Sie können einen VPC-Endpunkt für den Security Hub CSPM-Service entweder mit der Amazon VPC-Konsole oder mit () erstellen. AWS Command Line Interface AWS CLI Weitere Informationen finden Sie unter [Erstellen eines VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) im *Amazon Virtual Private Cloud Cloud-Handbuch*.

Erstellen Sie einen VPC-Endpunkt für Security Hub CSPM mit dem folgenden Dienstnamen:

`com.amazonaws.region.securityhub` 

Wo *region* ist der Regionalcode für den zutreffenden. AWS-Region

Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an Security Hub CSPM stellen, indem Sie dessen Standard-DNS-Namen für die Region verwenden, z. B. `securityhub.us-east-1.amazonaws.com` für die Region USA Ost (Nord-Virginia). 

## Eine VPC-Endpunktrichtlinie für Security Hub CSPM erstellen
<a name="vpc-endpoint-policy"></a>

Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Security Hub CSPM steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter [Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *Amazon Virtual Private Cloud Cloud-Handbuch*. 

**Beispiel: VPC-Endpunktrichtlinie für Security Hub CSPM-Aktionen**  
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Security Hub CSPM. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten Security Hub CSPM-Aktionen.

```
{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securityhub:getFindings",
            "securityhub:getEnabledStandards",
            "securityhub:getInsights"
         ],
         "Resource":"*"
      }
   ]
}
```

## Gemeinsam genutzte Subnetze
<a name="sh-vpc-endpoint-shared-subnets"></a>

Sie können VPC-Endpunkte in Subnetzen, die mit Ihnen geteilt werden, nicht erstellen, beschreiben, ändern oder löschen. Sie können die VPC-Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen geteilt werden. Informationen zur VPC-Sharing finden Sie unter [Teilen Sie Ihre VPC-Subnetze mit anderen Konten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) im *Amazon Virtual Private* Cloud Cloud-Leitfaden.

# Security Hub Hub-API-Aufrufe protokollieren mit CloudTrail
<a name="securityhub-ct"></a>

AWS Security Hub CSPM ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Dienst in Security Hub CSPM ausgeführt wurden. CloudTrail erfasst API-Aufrufe für Security Hub CSPM als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der Security Hub CSPM-Konsole und Code-Aufrufe an die Security Hub CSPM-API-Operationen. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für Security Hub CSPM. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem auf der CloudTrail Konsole im **Ereignisverlauf** einsehen. Anhand der CloudTrail gesammelten Informationen können Sie die Anfrage, die an Security Hub CSPM gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln. 

Weitere Informationen darüber CloudTrail, einschließlich der Konfiguration und Aktivierung, finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).

## Security Hub CSPM-Informationen in CloudTrail
<a name="service-name-info-in-cloudtrail"></a>

CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn unterstützte Ereignisaktivitäten in Security Hub CSPM auftreten, wird diese Aktivität zusammen mit anderen AWS Dienstereignissen im CloudTrail Ereignisverlauf in einem **Ereignis** aufgezeichnet. Sie können die neusten Ereignisse in Ihr -Konto herunterladen und dort suchen und anzeigen. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). 

Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem Konto, einschließlich Ereignissen für Security Hub CSPM, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Standardmäßig gilt ein in der Konsole erstellter Trail für alle AWS -Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier: 
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

Security Hub CSPM unterstützt die Protokollierung aller Security Hub CSPM-API-Aktionen als Ereignisse in Protokollen. CloudTrail Eine Liste der Security Hub CSPM-Operationen finden Sie in der [Security Hub CSPM](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html) API-Referenz.

Wenn Aktivitäten für die folgenden Aktionen protokolliert werden CloudTrail, ist der Wert für `responseElements` auf gesetzt. `null` Dadurch wird sichergestellt, dass vertrauliche Informationen nicht in den CloudTrail Protokollen enthalten sind.
+ `BatchImportFindings`
+ `GetFindings`
+ `GetInsights`
+ `GetMembers`
+ `UpdateFindings`

Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte: 
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde
+ Ob die Anfrage mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen föderierten Benutzer ausgeführt wurde
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde

Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

## Beispiel: Security Hub CSPM-Protokolldateieinträge
<a name="understanding-service-name-entries"></a>

Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `CreateInsight` Aktion demonstriert. In diesem Beispiel wird ein Insight mit dem Namen `Test Insight` erstellt. Das `ResourceId` Attribut ist als **Gruppieren nach** Aggregator angegeben, und es wurden keine optionalen Filter für diesen Einblick angegeben. Weitere Informationen über Funde sind unter [Einblicke in Security Hub CSPM anzeigen](securityhub-insights.md) verfügbar.

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJK6U5DS22IAVUI7BW",
        "arn": "arn:aws:iam::012345678901:user/TestUser",
        "accountId": "012345678901",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "TestUser"
    },
    "eventTime": "2018-11-25T01:02:18Z",
    "eventSource": "securityhub.amazonaws.com",
    "eventName": "CreateInsight",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.179",
    "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
    "requestParameters": {
        "Filters": {},
        "ResultField": "ResourceId",
        "Name": "Test Insight"
    },
    "responseElements": {
        "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
    },
    "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
    "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "012345678901"
}
```