Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Desactivación de controles en el CSPM de Security Hub
<a name="disable-controls-overview"></a>

Para reducir el ruido de resultados, puede resultar útil desactivar los controles que no sean relevantes para el entorno. En AWS Security Hub CSPM, puede deshabilitar un control en todos los estándares de seguridad o solo para estándares específicos. 

Si desactiva un control en todos los estándares, sucede lo siguiente:
+ Los controles de seguridad del control ya no se realizan.
+ No se generan resultados adicionales para el control.
+ Los resultados existentes se dejan de actualizar para el control.
+ Los resultados existentes del control se archivan de forma automática, por lo general dentro de un periodo de 3 a 5 días, según el mejor esfuerzo.
+ Security Hub CSPM elimina todas AWS Config las reglas relacionadas que haya creado para el control.

Si desactiva un control solo en estándares específicos, el CSPM de Security Hub deja de ejecutar las comprobaciones de seguridad para el control únicamente en esos estándares. Esto también excluye el control de los [cálculos del puntaje de seguridad](standards-security-score.md) para cada uno de esos estándares. Si el control está habilitado en otros estándares, el CSPM de Security Hub retiene la regla asociada de AWS Config , si aplica, y continúa con la ejecución de las comprobaciones de seguridad para el control en los demás estándares. El CSPM de Security Hub también incluye el control cuando calcula el puntaje de seguridad para cada uno de los demás estándares, lo cual afecta el puntaje de seguridad general.

Si desactiva un estándar, todos los controles que se aplican al estándar se desactivan de forma automática para ese estándar. Sin embargo, los controles pueden permanecer habilitados en otros estándares. Cuando desactiva un estándar, el CSPM de Security Hub no lleva un seguimiento de qué controles se desactivaron para el estándar. En consecuencia, si vuelve a habilitar el mismo estándar, todos los controles que se aplican a él se habilitan de forma automática. Para obtener información acerca de la desactivación de un estándar, consulte [Desactivación de un estándar](disable-standards.md).

La desactivación de un control no constituye una acción permanente. Suponga que desactiva un control y luego habilita un estándar que incluye ese control. El control queda habilitado para ese estándar. Cuando habilita un estándar en el CSPM de Security Hub, todos los controles que se aplican al estándar se habilitan de forma automática. Para obtener información sobre cómo se habilita un estándar, consulte [Habilitación de un estándar](enable-standards.md).

**Topics**
+ [Deshabilitar un control en todos los estándares](disable-controls-across-standards.md)
+ [Deshabilitación de un control en un estándar específico](disable-controls-standard.md)
+ [Controles sugeridos para deshabilitar](controls-to-disable.md)

# Deshabilitar un control en todos los estándares
<a name="disable-controls-across-standards"></a>

Recomendamos deshabilitar el control CSPM AWS de Security Hub en todos los estándares para mantener la alineación en toda la organización. Si usted desactiva un control solo en estándares específicos, aún recibirá resultados para el control si este está habilitado en otros estándares.

## Desactivación entre estándares en varias cuentas y regiones
<a name="disable-controls-all-standards-central-configuration"></a>

[Para deshabilitar un control de seguridad en varias direcciones Cuentas de AWSRegiones de AWS, debe utilizar la configuración central.](central-configuration-intro.md)

Cuando se usa la configuración centralizada, el administrador delegado puede crear políticas de configuración del CSPM de Security Hub que desactivan los controles especificados en los estándares habilitados. A continuación, puede asociar la política de configuración a cuentas específicas o a la raíz. OUs La política de configuración entra en vigencia en su región de origen (también denominada región de agregación) y en todas las regiones vinculadas.

Las políticas de configuración pueden personalizarse. Por ejemplo, puede optar por deshabilitar todos los AWS CloudTrail controles de una unidad organizativa y puede optar por deshabilitar todos los controles de IAM en otra unidad organizativa. El nivel de granularidad depende de los objetivos previstos en materia de cobertura de seguridad en su organización. Para instrucciones sobre cómo crear una política de configuración que deshabilite controles especificados en estándares, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

**nota**  
El administrador delegado puede crear políticas de configuración para administrar los controles en todos los estándares, excepto en el estándar de administración de [servicios:. AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) Los controles de este estándar deben configurarse en el servicio. AWS Control Tower 

Si quiere que algunas cuentas configuren sus propios controles en lugar del administrador delegado, este puede designar esas cuentas como autoadministradas. Las cuentas autoadministradas deben configurar los controles por separado en cada región.

## Deshabilitación entre varios estándares en una sola cuenta y región
<a name="disable-controls-all-standards"></a>

Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, no podrá utilizar las políticas de configuración para deshabilitar de manera centralizada los controles en varias cuentas y regiones. Sin embargo, puede desactivar un control en una sola cuenta y región.

------
#### [ Security Hub CSPM console ]

**Deshabilitación de un control en los estándares en una cuenta y región**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Controles**.

1. Seleccione la opción situada junto a un control.

1. Elija la opción **Desactivar el control**. Esta opción no aparece para un control que ya esté desactivado.

1. Seleccione un motivo para deshabilitar el control y confírmelo seleccionando **Deshabilitar**.

1. Repítalo en cada región en la que quiere deshabilitar el control.

------
#### [ Security Hub CSPM API ]

**Deshabilitación de un control en los estándares en una cuenta y región**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html). Proporcione un ID de control de seguridad.

   **Ejemplo de solicitud:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html). Proporcione el ARN de cualquier estándar en el que esté habilitado el control. Para obtener el estándar ARNs, ejecute. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)

1. Defina el parámetro `AssociationStatus` equivalente a `DISABLED`. Si sigue estos pasos para un control que ya está deshabilitado, la API devuelve una respuesta con el código de estado HTTP 200.

   **Ejemplo de solicitud:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. Repítalo en cada región en la que quiere deshabilitar el control.

------
#### [ AWS CLI ]

**Deshabilitación de un control en los estándares en una cuenta y región**

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Proporcione un ID de control de seguridad.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Proporcione el ARN de cualquier estándar en el que esté habilitado el control. Para obtener el estándar ARNs, ejecute el `describe-standards` comando.

1. Defina el parámetro `AssociationStatus` equivalente a `DISABLED`. Si sigue estos pasos para un control que ya está deshabilitado, el comando devuelve una respuesta con el código de estado HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. Repítalo en cada región en la que quiere deshabilitar el control.

------

# Deshabilitación de un control en un estándar específico
<a name="disable-controls-standard"></a>

Puede desactivar un control solo en estándares de seguridad específicos, en lugar de hacerlo en todos los estándares. Si el control se aplica a otros estándares habilitados, AWS Security Hub CSPM seguirá realizando comprobaciones de seguridad para el control y usted seguirá recibiendo los resultados del control.

Sin embargo, recomendamos alinear el estado de habilitación de un control en todos los estándares habilitados a los que se aplica el control. Para obtener información sobre cómo desactivar un control en todos los estándares a los que aplica, consulte [Deshabilitar un control en todos los estándares](disable-controls-across-standards.md).

En la página de detalles de los estándares, también puede desactivar los controles de un estándar específico. Debe deshabilitar los controles de los estándares específicos por separado en cada uno Cuenta de AWS y. Región de AWS Cuando desactiva un control en estándares específicos, esto afecta únicamente a la cuenta y a la región actuales.

Elija el método de su preferencia y siga estos pasos para desactivar un control en uno o más estándares específicos.

------
#### [ Security Hub CSPM console ]

**Deshabilitación de un control en un estándar específico**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Elija **Estándares de seguridad** en el panel de navegación. Seleccione **Ver resultados** para el estándar correspondiente.

1. Seleccione un control.

1. Elija la opción **Desactivar el control**. Esta opción no aparece para un control que ya esté desactivado.

1. Indique el motivo para deshabilitar el control y confirme seleccionando **Deshabilitar**.

------
#### [ Security Hub CSPM API ]

**Deshabilitación de un control en un estándar específico**

1. Ejecute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Esta API devuelve un control de seguridad independiente del estándar, no un control IDs específico del estándar. IDs

   **Ejemplo de solicitud:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Ejecute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` y proporcione un identificador de control específico para devolver el estado de activación actual de un control en cada estándar.

   **Ejemplo de solicitud:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Ejecute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Proporcione el ARN del estándar en el que desea deshabilitar el control.

1. Defina el parámetro `AssociationStatus` equivalente a `DISABLED`. Si sigue estos pasos para un control que ya está deshabilitado, la API devuelve una respuesta con el código de estado HTTP 200.

   **Ejemplo de solicitud:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**Deshabilitación de un control en un estándar específico**

1. Ejecute el comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute `describe-standards`. Este comando devuelve un control de seguridad independiente del estándar, no un control específico del estándar. IDs IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Ejecute el comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` y proporcione un identificador de control específico para devolver el estado de habilitación actual de un control en cada estándar.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Ejecute el comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Proporcione el ARN del estándar en el que desea deshabilitar el control.

1. Defina el parámetro `AssociationStatus` equivalente a `DISABLED`. Si sigue estos pasos para un control que ya está habilitado, el comando devuelve una respuesta con el código de estado HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# Controles sugeridos para desactivar en el CSPM de Security Hub
<a name="controls-to-disable"></a>

Recomendamos deshabilitar algunos controles CSPM AWS de Security Hub para reducir los costes de búsqueda de ruido y de uso.

## Controles que utilizan recursos globales
<a name="controls-to-disable-global-resources"></a>

Algunos Servicios de AWS admiten recursos globales, lo que significa que puede acceder al recurso desde cualquier lugar. Región de AWS Para ahorrar costes AWS Config, puedes desactivar el registro de los recursos globales en todas las regiones excepto en una. Una vez hecho esto, Security Hub aún ejecutará comprobaciones de seguridad en todas las regiones en las que esté habilitado un control y se cobrará en función de la cantidad de comprobaciones por cuenta y región. En consecuencia, para reducir el ruido de los resultados y disminuir los costos del CSPM de Security Hub, también debe desactivar los controles que involucren recursos globales en todas las regiones, excepto en la región que registra los recursos globales.

Si un control incluye recursos globales, pero solo está disponible en una región, si lo deshabilita en esa región, no podrá obtener resultados para el recurso subyacente. En ese caso, recomendamos que mantenga el control habilitado. Cuando se usa la agregación entre regiones, la región en la que el control se encuentra disponible debe ser la región de agregación o una de las regiones vinculadas. Los siguientes controles involucran recursos globales, pero solo están disponibles en una única región:
+ **Todos los CloudFront controles**: disponibles solo en la región EE.UU. Este (Norte de Virginia)
+ **GlobalAccelerator.1** — Disponible solo en la región EE.UU. Oeste (Oregón)
+ **Route53.2**: disponible solo en la región este de EE. UU. (Norte de Virginia)
+ **WAF.1, WAF.6, WAF.7 y WAF.8**: disponibles solo en la región este de EE. UU. (Norte de Virginia)

**nota**  
Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar los resultados de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen.  
Si un control habilitado que implica recursos globales no es compatible en la región de origen, el CSPM de Security Hub intenta habilitarlo en una región vinculada donde sí se admita. Con la configuración centralizada, no se obtiene cobertura para un control que no está disponible ni en la región de origen ni en ninguna de las regiones vinculadas.  
Para obtener más información acerca de la configuración centralizada, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

Para los controles cuya programación es de tipo *periódica*, es necesario desactivarlos en el CSPM de Security Hub para evitar cargos. Si se establece el AWS Config parámetro `includeGlobalResourceTypes` en, `false` no se ven afectados los controles periódicos de CSPM de Security Hub.

Los siguientes controles del CSPM de Security Hub usan recursos globales:
+ [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10)
+ [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)
+ [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)
+ [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)
+ [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)
+ [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)
+ [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)
+ [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)

## CloudTrail controles de registro
<a name="controls-to-disable-cloudtrail-logging"></a>

El control [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) evalúa el uso de AWS Key Management Service (AWS KMS) para cifrar los registros de AWS CloudTrail seguimiento. Si registra estos registros en una cuenta de registro centralizada, debe habilitar este control solo en la cuenta y en el Región de AWS lugar donde se lleva a cabo el registro centralizado.

Si utiliza la [configuración centralizada](central-configuration-intro.md), el estado de habilitación de un control se alinea en la región de origen y en las regiones vinculadas. No puede deshabilitar un control en algunas regiones y habilitarlo en otras. En este caso, puede suprimir los resultados del control CloudTrail .2 para reducir el ruido de detección.

## CloudWatch controles de alarma
<a name="controls-to-disable-cloudwatch-alarms"></a>

Si prefieres utilizar Amazon GuardDuty para la detección de anomalías en lugar de CloudWatch las alarmas de Amazon, puedes desactivar los siguientes controles, que se centran en CloudWatch las alarmas:
+ [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC](cloudwatch-controls.md#cloudwatch-14)