Límites regionales para los controles de Security Hub

[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo

[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito

[ElastiCache.6] Los grupos de replicación ElastiCache (RedisOSS) de versiones anteriores deberían tener Redis activado OSS AUTH

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.3] Los volúmenes adjuntos de Amazon EBS deben cifrarse en reposo

[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2

[EC2.12] Amazon no utilizado EC2 EIPs debería retirarse

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22

[EC2.14] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 3389

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo

[ELB.1] Application Load Balancer debe configurarse para redirigir todas las HTTP solicitudes a HTTPS

[ELB.2] Los balanceadores de carga clásicos con HTTPS listenersSSL/deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos

[ELB.8] Los balanceadores de carga clásicos que utilizan dispositivos de SSL escucha deben usar una política de seguridad predefinida que tenga una larga duración AWS Config

[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con Support

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse

[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse

[IoT.3] Las dimensiones de AWS IoT Core deben etiquetarse

[IoT.4] Los autorizadores de AWS IoT Core deben etiquetarse

[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse

[IoT.6] Las políticas de AWS IoT Core deben etiquetarse

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

[RDS.1] La instantánea de RDS debe ser privada

[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch

La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker AI notebook no deberían tener acceso directo a Internet

[SSM.2] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad con el parche COMPLIANT tras la instalación de un parche

[SSM.3] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.11] El ACL registro AWS WAF web debe estar habilitado

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SES.1] Las listas de contactos de SES deben estar etiquetadas

[SES.2] Los conjuntos de configuración de SES deben estar etiquetados

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations

[APIGateway.1] La API puerta de enlace REST y el registro de WebSocket API ejecuciones deben estar habilitados

[APIGateway.2] REST API Las etapas de la API puerta de enlace deben configurarse para usar SSL certificados para la autenticación de fondo

[APIGateway.3] REST API Las etapas de API Gateway deben tener habilitado el AWS X-Ray rastreo

[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL

[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas

Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo

[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse

[Backup.4] Los planes de informes de AWS Backup deben etiquetarse

[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config

[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.2] DMS los certificados deben estar etiquetados

[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas

[DMS.4] las instancias de DMS replicación deben estar etiquetadas

[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados

[DMS.6] las instancias de DMS replicación deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] las tareas de DMS replicación de la base de datos de destino deben tener habilitado el registro

[DMS.8] las tareas de DMS replicación de la base de datos de origen deben tener el registro activado

[DMS.9] Los DMS puntos finales deben utilizar SSL

[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM

[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación

[DMS.12] DMS Los puntos finales de Redis deberían estar habilitados OSS TLS

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22

[EC2.14] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 3389

[EC2.18] Los grupos de seguridad solo deberían permitir el tráfico entrante sin restricciones en los puertos autorizados

[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo

[EC2.51] Los puntos finales de EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo

[ElastiCache.1] Los clústeres ElastiCache (RedisOSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.6] Los grupos de replicación ElastiCache (RedisOSS) de versiones anteriores deberían tener Redis activado OSS AUTH

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[Glue.1] los AWS Glue trabajos deben estar etiquetados

[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con Support

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse

[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse

[IoT.3] Las dimensiones de AWS IoT Core deben etiquetarse

[IoT.4] Los autorizadores de AWS IoT Core deben etiquetarse

[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse

[IoT.6] Las políticas de AWS IoT Core deben etiquetarse

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de bases de datos de Neptune deben tener habilitada la autenticación de bases de datos IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC

Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker AI notebook no deberían tener acceso directo a Internet

[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una organización de AWS

Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo

[SQS.2] Las colas de SQS deben estar etiquetadas

[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager

[SSM.2] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad con el parche COMPLIANT tras la instalación de un parche

[SSM.3] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.10] la AWS WAF web ACLs debe tener al menos una regla o grupo de reglas

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations

[APIGateway.3] REST API Las etapas de API Gateway deben tener habilitado el AWS X-Ray rastreo

[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL

[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado

Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo

[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse

[Backup.4] Los planes de informes de AWS Backup deben etiquetarse

[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.2] DMS los certificados deben estar etiquetados

[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas

[DMS.4] las instancias de DMS replicación deben estar etiquetadas

[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados

[DMS.6] las instancias de DMS replicación deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] las tareas de DMS replicación de la base de datos de destino deben tener habilitado el registro

[DMS.8] las tareas de DMS replicación de la base de datos de origen deben tener el registro activado

[DMS.9] Los DMS puntos finales deben utilizar SSL

[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM

[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación

[DMS.12] DMS Los puntos finales de Redis deberían estar habilitados OSS TLS

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22

[EC2.14] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 3389

[EC2.18] Los grupos de seguridad solo deberían permitir el tráfico entrante sin restricciones en los puertos autorizados

[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.25] Las plantillas de EC2 lanzamiento de Amazon no deben asignar interfaces públicas IPs a las de red

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo

[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas

[EC2.40] Las pasarelas EC2 NAT deben estar etiquetadas

[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados

[EC2.51] Los puntos finales de EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.170] Las plantillas de EC2 lanzamiento deben utilizar la versión 2 () del Servicio de Metadatos de Instancia IMDSv2

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo

[ELB.5] El registro de aplicaciones y balanceadores de carga clásicos debe estar habilitado

[ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ElastiCache.1] Los clústeres ElastiCache (RedisOSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.6] Los grupos de replicación ElastiCache (RedisOSS) de versiones anteriores deberían tener Redis activado OSS AUTH

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[Glue.1] los AWS Glue trabajos deben estar etiquetados

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con Support

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.24] Los roles de IAM deben etiquetarse

[IAM.25] Los usuarios de IAM deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener la política adjunta AWSCloud ShellFullAccess

[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado

[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse

[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse

[IoT.3] Las dimensiones de AWS IoT Core deben etiquetarse

[IoT.4] Los autorizadores de AWS IoT Core deben etiquetarse

[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse

[IoT.6] Las políticas de AWS IoT Core deben etiquetarse

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias

[MQ.4] Los agentes de Amazon MQ deben estar etiquetados

[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera

[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de bases de datos de Neptune deben tener habilitada la autenticación de bases de datos IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente

Los OpenSearch dominios [Opensearch.9] deben estar etiquetados

Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software

Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible

Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación

[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch

La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales

[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS

[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker AI notebook no deberían tener acceso directo a Internet

[SageMaker.2] Las instancias de SageMaker AI notebook deben lanzarse en una VPC personalizada

[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker AI Notebook

[SES.1] Las listas de contactos de SES deben estar etiquetadas

[SES.2] Los conjuntos de configuración de SES deben estar etiquetados

Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo

[SQS.2] Las colas de SQS deben estar etiquetadas

[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager

[SSM.2] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad con el parche COMPLIANT tras la instalación de un parche

[SSM.3] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.10] la AWS WAF web ACLs debe tener al menos una regla o grupo de reglas

[WAF.11] El ACL registro AWS WAF web debe estar habilitado

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

[ACM.1] Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico

[ACM.2] RSA los certificados gestionados por ACM deben utilizar una longitud de clave de al menos 2048 bits

[ACM.3] ACM los certificados deben estar etiquetados

[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS

[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations

[APIGateway.1] La API puerta de enlace REST y el registro de WebSocket API ejecuciones deben estar habilitados

[APIGateway.2] REST API Las etapas de la API puerta de enlace deben configurarse para usar SSL certificados para la autenticación de fondo

[APIGateway.3] REST API Las etapas de API Gateway deben tener habilitado el AWS X-Ray rastreo

[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL

[APIGateway.5] Los datos de la REST API caché de API Gateway deben cifrarse en reposo

[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.2] AWS AppSync debe tener activado el registro a nivel de campo

[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado

[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves API

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[Athena.2] Los catálogos de datos de Athena deben estar etiquetados

[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados

[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado

[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar controles de ELB estado

[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad

[AutoScaling.3] Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)

[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad

[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon

[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas

Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo

[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse

[Backup.3] Los almacenes de AWS Backup deben etiquetarse

[Backup.4] Los planes de informes de AWS Backup deben etiquetarse

[Backup.5] Los planes de copias de seguridad de AWS Backup deben etiquetarse

[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

[CloudWatch.17] Las acciones de alarma de CloudWatch deben estar activadas

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config

[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[DataFirehose.1] Los flujos de entrega de Firehose deben estar cifrados en reposo

[DataSync.1] Las tareas de DataSync deben tener el registro habilitado

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.2] DMS los certificados deben estar etiquetados

[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas

[DMS.4] las instancias de DMS replicación deben estar etiquetadas

[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados

[DMS.6] las instancias de DMS replicación deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] las tareas de DMS replicación de la base de datos de destino deben tener habilitado el registro

[DMS.8] las tareas de DMS replicación de la base de datos de origen deben tener el registro activado

[DMS.9] Los DMS puntos finales deben utilizar SSL

[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM

[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación

[DMS.12] DMS Los puntos finales de Redis deberían estar habilitados OSS TLS

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389

[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.25] Las plantillas de EC2 lanzamiento de Amazon no deben asignar interfaces públicas IPs a las de red

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo

[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados

[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas

[EC2.37] Las direcciones IP EC2 elásticas deben estar etiquetadas

[EC2.40] Las pasarelas EC2 NAT deben estar etiquetadas

[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados

[EC2.51] Los puntos finales de EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas

[EC2.53] los grupos de EC2 seguridad no deberían permitir la entrada desde el 0.0.0.0/0 a los puertos de administración remota del servidor

[EC2.54] Los grupos EC2 de seguridad no deberían permitir la entrada desde: :/0 a los puertos de administración remota del servidor

[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR

[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry

[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.170] Las plantillas de EC2 lanzamiento deben utilizar la versión 2 () del Servicio de Metadatos de Instancia IMDSv2

[EC2.171] Las conexiones EC2 VPN deben tener el registro activado

[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes

[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas

[ECR.3] ECR Los repositorios deben tener configurada al menos una política de ciclo de vida

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[ECS.1] Las definiciones de ECS tareas de Amazon deben tener modos de red seguros y definiciones de usuario.

[ECS.3] las definiciones de ECS tareas no deben compartir el espacio de nombres del proceso del host

[ECS.4] los ECS contenedores deberían ejecutarse sin privilegios

[ECS.5] ECS Los contenedores deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor

[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro

[ECS.10] Los servicios de ECS Fargate deberían ejecutarse en la última versión de la plataforma Fargate

[ECS.12] ECS los clústeres deben usar Container Insights

[ECS.16] Los conjuntos de ECS tareas no deben asignar automáticamente direcciones IP públicas

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo

[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz

[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario

[EFS.5] los puntos de EFS acceso deben estar etiquetados

[EFS.6] Los destinos de EFS montaje no deben estar asociados a una subred pública

[EFS.7] los sistemas de EFS archivos deben tener habilitadas las copias de seguridad automáticas

[EFS.8] los sistemas de EFS archivos deben cifrarse en reposo

[EKS.1] Los puntos finales de los EKS clústeres no deben ser de acceso público

[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes

[EKS.3] los EKS clústeres deben usar secretos de Kubernetes cifrados

[EKS.6] EKS los clústeres deben estar etiquetados

[EKS.7] Las configuraciones de los proveedores de EKS identidad deben estar etiquetadas

[EKS.8] EKS los clústeres deben tener habilitado el registro de auditoría

[ELB.2] Los balanceadores de carga clásicos con HTTPS listenersSSL/deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad

[ELB.12] Application Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.13] Los balanceadores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

[ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL

[ElastiCache.1] Los clústeres ElastiCache (RedisOSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.2] ElastiCache Los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias

[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática

[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo

[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito

[ElastiCache.6] Los grupos de replicación ElastiCache (RedisOSS) de versiones anteriores deberían tener Redis activado OSS AUTH

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[ES.9] Los dominios de Elasticsearch deben estar etiquetados

[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados

[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[FSx.1] FSx para sistemas de ZFS archivos abiertos, debe configurarse para copiar etiquetas a copias de seguridad y volúmenes

[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[Glue.1] los AWS Glue trabajos deben estar etiquetados

[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo

[GuardDuty.1] GuardDuty debe estar activado

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[GuardDuty.3] GuardDuty IPSets debe estar etiquetado

[GuardDuty.4] GuardDuty los detectores deben estar etiquetados

[GuardDuty.5] La supervisión del registro de GuardDuty EKS auditoría debe estar habilitada

[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada

[GuardDuty.7] La monitorización del GuardDuty EKS tiempo de ejecución debe estar habilitada

[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada

[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada

[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una duración estricta AWS Config

[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula

[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula

[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo

[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con Support

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse

[IAM.24] Los roles de IAM deben etiquetarse

[IAM.25] Los usuarios de IAM deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener la política adjunta AWSCloud ShellFullAccess

[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse

[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado

[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse

[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse

[IoT.3] Las dimensiones de AWS IoT Core deben etiquetarse

[IoT.4] Los autorizadores de AWS IoT Core deben etiquetarse

[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse

[IoT.6] Las políticas de AWS IoT Core deben etiquetarse

[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

[Kinesis.2] Las transmisiones de Kinesis deben etiquetarse

[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

[KMS.3] no AWS KMS keys debe eliminarse involuntariamente

[KMS.5] Las claves KMS no deben ser de acceso público

[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias

[MQ.4] Los agentes de Amazon MQ deben estar etiquetados

[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera

[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres

[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios

[MSK.2] MSK los clústeres deben tener configurada una supervisión mejorada

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de bases de datos de Neptune deben tener habilitada la autenticación de bases de datos IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

[NetworkFirewall.1] Los firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad

[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado

[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas

[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío

[NetworkFirewall.7] Los firewall de Network Firewall se deben etiquetar

[NetworkFirewall.8] Las políticas de firewall de Network Firewall se deben etiquetar

Los firewalls de Network Firewall [NetworkFirewall.9] deben tener habilitada la protección de eliminación

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente

Los OpenSearch dominios [Opensearch.9] deben estar etiquetados

Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software

Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados

La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas

Las instancias de RDS [RDS.18] deben implementarse en una VPC

Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos

Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado

Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo

[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse

[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch

[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch

[RDS.38] Las instancias de base de datos de RDS para PostgreSQL deben cifrarse en tránsito

[RDS.39] Las instancias de base de datos de RDS para MySQL deben cifrarse en tránsito

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría

Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales

[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC

Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado

Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

[Redshift.11] Los clústeres de Redshift deben etiquetarse

[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse

[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos

[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones

[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida

[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos

[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3

[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida

[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys

[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público

[S3.20] Los cubos de uso general de S3 deberían tener habilitada la función de eliminación MFA

[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto

[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker AI notebook no deberían tener acceso directo a Internet

[SageMaker.2] Las instancias de SageMaker AI notebook deben lanzarse en una VPC personalizada

[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker AI Notebook

[SageMaker.4] Las variantes de producción de terminales de SageMaker IA deben tener un recuento inicial de instancias superior a 1

[SES.1] Las listas de contactos de SES deben estar etiquetadas

[SES.2] Los conjuntos de configuración de SES deben estar etiquetados

[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática

[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente

[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados

[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días

[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una organización de AWS

[SNS.4] las políticas de acceso a los SNS temas no deberían permitir el acceso público

Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo

[SQS.2] Las colas de SQS deben estar etiquetadas

[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager

[SSM.2] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad con el parche COMPLIANT tras la instalación de un parche

[SSM.3] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[SSM.4] SSM los documentos no deben ser públicos

[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado

[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas

[Transfer.1] AWS Transfer Family Los flujos de trabajo deben estar etiquetados

[Transfer.2] Los servidores Transfer Family no deben usar el FTP protocolo para la conexión de puntos finales

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición

[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla

[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.10] la AWS WAF web ACLs debe tener al menos una regla o grupo de reglas

[WAF.11] El ACL registro AWS WAF web debe estar habilitado

[WAF.12] AWS WAF las reglas deben tener las CloudWatch métricas habilitadas

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

[ACM.1] Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico

[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.2] AWS AppSync debe tener activado el registro a nivel de campo

[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves API

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado

[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar controles de ELB estado

[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas

Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo

[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse

[Backup.4] Los planes de informes de AWS Backup deben etiquetarse

[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.2] DMS los certificados deben estar etiquetados

[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas

[DMS.4] las instancias de DMS replicación deben estar etiquetadas

[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados

[DMS.6] las instancias de DMS replicación deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] las tareas de DMS replicación de la base de datos de destino deben tener habilitado el registro

[DMS.8] las tareas de DMS replicación de la base de datos de origen deben tener el registro activado

[DMS.9] Los DMS puntos finales deben utilizar SSL

[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM

[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación

[DMS.12] DMS Los puntos finales de Redis deberían estar habilitados OSS TLS

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente

[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2

[EC2.9] EC2 Las instancias de Amazon no deben tener una dirección pública IPv4

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22

[EC2.14] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 3389

[EC2.18] Los grupos de seguridad solo deberían permitir el tráfico entrante sin restricciones en los puertos autorizados

[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.25] Las plantillas de EC2 lanzamiento de Amazon no deben asignar interfaces públicas IPs a las de red

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo

[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas

[EC2.40] Las pasarelas EC2 NAT deben estar etiquetadas

[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados

[EC2.51] Los puntos finales de EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.170] Las plantillas de EC2 lanzamiento deben utilizar la versión 2 () del Servicio de Metadatos de Instancia IMDSv2

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[ECS.1] Las definiciones de ECS tareas de Amazon deben tener modos de red seguros y definiciones de usuario.

[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo

[ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ElastiCache.1] Los clústeres ElastiCache (RedisOSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.2] ElastiCache Los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias

[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática

[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo

[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito

[ElastiCache.6] Los grupos de replicación ElastiCache (RedisOSS) de versiones anteriores deberían tener Redis activado OSS AUTH

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[FSx.1] FSx para sistemas de ZFS archivos abiertos, debe configurarse para copiar etiquetas a copias de seguridad y volúmenes

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[Glue.1] los AWS Glue trabajos deben estar etiquetados

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una duración estricta AWS Config

[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula

[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula

[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo

[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con Support

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.24] Los roles de IAM deben etiquetarse

[IAM.25] Los usuarios de IAM deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener la política adjunta AWSCloud ShellFullAccess

[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado

[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse

[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse

[IoT.3] Las dimensiones de AWS IoT Core deben etiquetarse

[IoT.4] Los autorizadores de AWS IoT Core deben etiquetarse

[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse

[IoT.6] Las políticas de AWS IoT Core deben etiquetarse

[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias

[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera

[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de bases de datos de Neptune deben tener habilitada la autenticación de bases de datos IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente

Los OpenSearch dominios [Opensearch.9] deben estar etiquetados

Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software

Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados

[RDS.1] La instantánea de RDS debe ser privada

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación

La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones

[S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker AI notebook no deberían tener acceso directo a Internet

[SageMaker.2] Las instancias de SageMaker AI notebook deben lanzarse en una VPC personalizada

[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker AI Notebook

[SES.1] Las listas de contactos de SES deben estar etiquetadas

[SES.2] Los conjuntos de configuración de SES deben estar etiquetados

[SNS.1] SNS los temas deben cifrarse en reposo mediante AWS KMS

Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo

[SQS.2] Las colas de SQS deben estar etiquetadas

[SSM.2] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad con el parche COMPLIANT tras la instalación de un parche

[SSM.3] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[SSM.4] SSM los documentos no deben ser públicos

[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado

[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.11] El ACL registro AWS WAF web debe estar habilitado

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[ACM.1] Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico

[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations

[APIGateway.1] La API puerta de enlace REST y el registro de WebSocket API ejecuciones deben estar habilitados

[APIGateway.2] REST API Las etapas de la API puerta de enlace deben configurarse para usar SSL certificados para la autenticación de fondo

[APIGateway.3] REST API Las etapas de API Gateway deben tener habilitado el AWS X-Ray rastreo

[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas

Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo

[Backup.4] Los planes de informes de AWS Backup deben etiquetarse

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CloudWatch.15] Las alarmas de CloudWatch deben tener configuradas acciones específicas

[CloudWatch.16] Los grupos de registros de CloudWatch deben retenerse durante un periodo específico

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.7] las tareas de DMS replicación de la base de datos de destino deben tener habilitado el registro

[DMS.8] las tareas de DMS replicación de la base de datos de origen deben tener el registro activado

[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente

[EC2.3] Los volúmenes adjuntos de Amazon EBS deben cifrarse en reposo

[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.7] El cifrado predeterminado de EBS debe estar activado

[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2

[EC2.9] EC2 Las instancias de Amazon no deben tener una dirección pública IPv4

[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio de Amazon EC2

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22

[EC2.14] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 3389

[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas

[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas

[EC2.17] EC2 Las instancias de Amazon no deberían usar múltiples ENIs

[EC2.18] Los grupos de seguridad solo deberían permitir el tráfico entrante sin restricciones en los puertos autorizados

[EC2.20] Los dos túneles VPN de una conexión AWS Site-to-Site VPN deben estar activos

[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo

[EC2.51] Los puntos finales de EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR

[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry

[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[ECS.1] Las definiciones de ECS tareas de Amazon deben tener modos de red seguros y definiciones de usuario.

[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo

[ELB.1] Application Load Balancer debe configurarse para redirigir todas las HTTP solicitudes a HTTPS

[ELB.2] Los balanceadores de carga clásicos con HTTPS listenersSSL/deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con o con terminación HTTPS TLS

[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos

[ELB.6] Los balanceadores de carga de aplicaciones, puertas de enlace y redes deben tener habilitada la protección contra eliminaciones

[ELB.8] Los balanceadores de carga clásicos que utilizan dispositivos de SSL escucha deben usar una política de seguridad predefinida que tenga una larga duración AWS Config

[ELB.9] Los balanceadores de carga clásicos deberían tener activado el balanceo de cargas entre zonas

[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL

[ElastiCache.1] Los clústeres ElastiCache (RedisOSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con Support

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse

[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse

[IoT.3] Las dimensiones de AWS IoT Core deben etiquetarse

[IoT.4] Los autorizadores de AWS IoT Core deben etiquetarse

[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse

[IoT.6] Las políticas de AWS IoT Core deben etiquetarse

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público

[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos

[Lambda.3] Las funciones lambda deben estar en un VPC

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

[RDS.1] La instantánea de RDS debe ser privada

Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas

Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]

Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación

Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación

[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch

La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS

La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS

Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público

[S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos

[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker AI notebook no deberían tener acceso directo a Internet

[SNS.1] SNS los temas deben cifrarse en reposo mediante AWS KMS

[SSM.2] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad con el parche COMPLIANT tras la instalación de un parche

[SSM.3] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.10] la AWS WAF web ACLs debe tener al menos una regla o grupo de reglas

[WAF.11] El ACL registro AWS WAF web debe estar habilitado

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[ACM.1] Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico

[ACM.2] RSA los certificados gestionados por ACM deben utilizar una longitud de clave de al menos 2048 bits

[ACM.3] ACM los certificados deben estar etiquetados

[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations

[APIGateway.2] REST API Las etapas de la API puerta de enlace deben configurarse para usar SSL certificados para la autenticación de fondo

[APIGateway.3] REST API Las etapas de API Gateway deben tener habilitado el AWS X-Ray rastreo

[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[Athena.2] Los catálogos de datos de Athena deben estar etiquetados

[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados

[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados

Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo

[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse

[Backup.3] Los almacenes de AWS Backup deben etiquetarse

[Backup.4] Los planes de informes de AWS Backup deben etiquetarse

[Backup.5] Los planes de copias de seguridad de AWS Backup deben etiquetarse

[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CloudTrail.9] las CloudTrail rutas deben estar etiquetadas

[CloudWatch.15] Las alarmas de CloudWatch deben tener configuradas acciones específicas

[CloudWatch.16] Los grupos de registros de CloudWatch deben retenerse durante un periodo específico

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[DataFirehose.1] Los flujos de entrega de Firehose deben estar cifrados en reposo

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.2] DMS los certificados deben estar etiquetados

[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas

[DMS.4] las instancias de DMS replicación deben estar etiquetadas

[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados

[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM

[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación

[DMS.12] DMS Los puntos finales de Redis deberían estar habilitados OSS TLS

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.5] Las tablas de DynamoDB deben etiquetarse

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas

[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas

[EC2.20] Los dos túneles VPN de una conexión AWS Site-to-Site VPN deben estar activos

[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo

[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados

[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas

Las interfaces de EC2 red deben estar etiquetadas [EC2.35]

[EC2.36] Las pasarelas de EC2 clientes deben estar etiquetadas

[EC2.37] Las direcciones IP EC2 elásticas deben estar etiquetadas

[EC2.38] EC2 las instancias deben estar etiquetadas

[EC2.39] Las pasarelas EC2 de Internet deben estar etiquetadas

[EC2.40] Las pasarelas EC2 NAT deben estar etiquetadas

La EC2 red [EC2.41] ACLs debe estar etiquetada

Las tablas de EC2 rutas deben estar etiquetadas [EC2.42]

[EC2.43] los grupos EC2 de seguridad deben estar etiquetados

EC2 Las subredes [EC2.44] deben estar etiquetadas

[EC2.45] los EC2 volúmenes deben estar etiquetados

[EC2.46] Amazon VPCs debería estar etiquetado

[EC2.47] Los servicios de punto final de Amazon VPC deben estar etiquetados

[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados

[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben estar etiquetadas

[EC2.50] Las pasarelas de EC2 VPN deben estar etiquetadas

[EC2.51] Los puntos finales de EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas

[EC2.53] los grupos de EC2 seguridad no deberían permitir la entrada desde el 0.0.0.0/0 a los puertos de administración remota del servidor

[EC2.54] Los grupos EC2 de seguridad no deberían permitir la entrada desde: :/0 a los puertos de administración remota del servidor

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.171] Las conexiones EC2 VPN deben tener el registro activado

[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[ECS.1] Las definiciones de ECS tareas de Amazon deben tener modos de red seguros y definiciones de usuario.

[ECS.13] ECS los servicios deben estar etiquetados

[ECS.14] los ECS clústeres deben estar etiquetados

[ECS.15] Las definiciones de ECS tareas deben estar etiquetadas

[EFS.5] los puntos de EFS acceso deben estar etiquetados

[EFS.6] Los destinos de EFS montaje no deben estar asociados a una subred pública

[EKS.3] los EKS clústeres deben usar secretos de Kubernetes cifrados

[EKS.6] EKS los clústeres deben estar etiquetados

[EKS.7] Las configuraciones de los proveedores de EKS identidad deben estar etiquetadas

[ELB.2] Los balanceadores de carga clásicos con HTTPS listenersSSL/deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL

[ElastiCache.1] Los clústeres ElastiCache (RedisOSS) deben tener habilitadas las copias de seguridad automáticas

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[ES.9] Los dominios de Elasticsearch deben estar etiquetados

[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[FSx.1] FSx para sistemas de ZFS archivos abiertos, debe configurarse para copiar etiquetas a copias de seguridad y volúmenes

[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[Glue.1] los AWS Glue trabajos deben estar etiquetados

[GuardDuty.1] GuardDuty debe estar activado

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[GuardDuty.3] GuardDuty IPSets debe estar etiquetado

[GuardDuty.4] GuardDuty los detectores deben estar etiquetados

[GuardDuty.5] La supervisión del registro de GuardDuty EKS auditoría debe estar habilitada

[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada

[GuardDuty.7] La monitorización del GuardDuty EKS tiempo de ejecución debe estar habilitada

[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada

[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada

[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse

[IAM.24] Los roles de IAM deben etiquetarse

[IAM.25] Los usuarios de IAM deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener la política adjunta AWSCloud ShellFullAccess

[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse

[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado

[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse

[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse

[IoT.3] Las dimensiones de AWS IoT Core deben etiquetarse

[IoT.4] Los autorizadores de AWS IoT Core deben etiquetarse

[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse

[IoT.6] Las políticas de AWS IoT Core deben etiquetarse

[Kinesis.2] Las transmisiones de Kinesis deben etiquetarse

[Lambda.6] Las funciones de Lambda deben estar etiquetadas

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.4] Los agentes de Amazon MQ deben estar etiquetados

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de bases de datos de Neptune deben tener habilitada la autenticación de bases de datos IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

[NetworkFirewall.1] Los firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad

[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado

[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas

[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío

[NetworkFirewall.7] Los firewall de Network Firewall se deben etiquetar

[NetworkFirewall.8] Las políticas de firewall de Network Firewall se deben etiquetar

Los firewalls de Network Firewall [NetworkFirewall.9] deben tener habilitada la protección de eliminación

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente

Los OpenSearch dominios [Opensearch.9] deben estar etiquetados

Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados

La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada

Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación

La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS

La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS

Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad

Los clústeres de bases de datos de RDS [RDS.16] deben configurarse para copiar etiquetas en las instantáneas

Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado

Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo

[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse

[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse

[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse

[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse

[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch

[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

[Redshift.11] Los clústeres de Redshift deben etiquetarse

[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse

[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse

[Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse

[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público

[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público

[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones

[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto

[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker AI notebook no deberían tener acceso directo a Internet

[SageMaker.4] Las variantes de producción de terminales de SageMaker IA deben tener un recuento inicial de instancias superior a 1

[SES.1] Las listas de contactos de SES deben estar etiquetadas

[SES.2] Los conjuntos de configuración de SES deben estar etiquetados

[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados

[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días

[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados

[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una organización de AWS

[SNS.3] SNS los temas deben estar etiquetados

[SQS.2] Las colas de SQS deben estar etiquetadas

[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas

[Transfer.1] AWS Transfer Family Los flujos de trabajo deben estar etiquetados

[Transfer.2] Los servidores Transfer Family no deben usar el FTP protocolo para la conexión de puntos finales

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.11] El ACL registro AWS WAF web debe estar habilitado

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

[ACM.1] Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico

[ACM.2] RSA los certificados gestionados por ACM deben utilizar una longitud de clave de al menos 2048 bits

[ACM.3] ACM los certificados deben estar etiquetados

[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations

[APIGateway.2] REST API Las etapas de la API puerta de enlace deben configurarse para usar SSL certificados para la autenticación de fondo

[APIGateway.3] REST API Las etapas de API Gateway deben tener habilitado el AWS X-Ray rastreo

[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[Athena.2] Los catálogos de datos de Athena deben estar etiquetados

[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados

[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados

Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo

[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse

[Backup.3] Los almacenes de AWS Backup deben etiquetarse

[Backup.4] Los planes de informes de AWS Backup deben etiquetarse

[Backup.5] Los planes de copias de seguridad de AWS Backup deben etiquetarse

[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CloudTrail.9] las CloudTrail rutas deben estar etiquetadas

[CloudWatch.15] Las alarmas de CloudWatch deben tener configuradas acciones específicas

[CloudWatch.16] Los grupos de registros de CloudWatch deben retenerse durante un periodo específico

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[DataFirehose.1] Los flujos de entrega de Firehose deben estar cifrados en reposo

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.2] DMS los certificados deben estar etiquetados

[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas

[DMS.4] las instancias de DMS replicación deben estar etiquetadas

[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados

[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM

[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación

[DMS.12] DMS Los puntos finales de Redis deberían estar habilitados OSS TLS

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.5] Las tablas de DynamoDB deben etiquetarse

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas

[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas

[EC2.20] Los dos túneles VPN de una conexión AWS Site-to-Site VPN deben estar activos

[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo

[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados

[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas

Las interfaces de EC2 red deben estar etiquetadas [EC2.35]

[EC2.36] Las pasarelas de EC2 clientes deben estar etiquetadas

[EC2.37] Las direcciones IP EC2 elásticas deben estar etiquetadas

[EC2.38] EC2 las instancias deben estar etiquetadas

[EC2.39] Las pasarelas EC2 de Internet deben estar etiquetadas

[EC2.40] Las pasarelas EC2 NAT deben estar etiquetadas

La EC2 red [EC2.41] ACLs debe estar etiquetada

Las tablas de EC2 rutas deben estar etiquetadas [EC2.42]

[EC2.43] los grupos EC2 de seguridad deben estar etiquetados

EC2 Las subredes [EC2.44] deben estar etiquetadas

[EC2.45] los EC2 volúmenes deben estar etiquetados

[EC2.46] Amazon VPCs debería estar etiquetado

[EC2.47] Los servicios de punto final de Amazon VPC deben estar etiquetados

[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados

[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben estar etiquetadas

[EC2.50] Las pasarelas de EC2 VPN deben estar etiquetadas

[EC2.51] Los puntos finales de EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.171] Las conexiones EC2 VPN deben tener el registro activado

[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[ECS.1] Las definiciones de ECS tareas de Amazon deben tener modos de red seguros y definiciones de usuario.

[ECS.13] ECS los servicios deben estar etiquetados

[ECS.14] los ECS clústeres deben estar etiquetados

[ECS.15] Las definiciones de ECS tareas deben estar etiquetadas

[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz

[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario

[EFS.5] los puntos de EFS acceso deben estar etiquetados

[EFS.6] Los destinos de EFS montaje no deben estar asociados a una subred pública

[EKS.3] los EKS clústeres deben usar secretos de Kubernetes cifrados

[EKS.6] EKS los clústeres deben estar etiquetados

[EKS.7] Las configuraciones de los proveedores de EKS identidad deben estar etiquetadas

[ELB.2] Los balanceadores de carga clásicos con HTTPS listenersSSL/deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL

[ElastiCache.1] Los clústeres ElastiCache (RedisOSS) deben tener habilitadas las copias de seguridad automáticas

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[ES.9] Los dominios de Elasticsearch deben estar etiquetados

[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[FSx.1] FSx para sistemas de ZFS archivos abiertos, debe configurarse para copiar etiquetas a copias de seguridad y volúmenes

[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[Glue.1] los AWS Glue trabajos deben estar etiquetados

[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo

[GuardDuty.1] GuardDuty debe estar activado

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[GuardDuty.3] GuardDuty IPSets debe estar etiquetado

[GuardDuty.4] GuardDuty los detectores deben estar etiquetados

[GuardDuty.5] La supervisión del registro de GuardDuty EKS auditoría debe estar habilitada

[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada

[GuardDuty.7] La monitorización del GuardDuty EKS tiempo de ejecución debe estar habilitada

[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada

[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada

[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse

[IAM.24] Los roles de IAM deben etiquetarse

[IAM.25] Los usuarios de IAM deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener la política adjunta AWSCloud ShellFullAccess

[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse

[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado

[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse

[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse

[IoT.3] Las dimensiones de AWS IoT Core deben etiquetarse

[IoT.4] Los autorizadores de AWS IoT Core deben etiquetarse

[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse

[IoT.6] Las políticas de AWS IoT Core deben etiquetarse

[Kinesis.2] Las transmisiones de Kinesis deben etiquetarse

[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público

[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos

[Lambda.3] Las funciones lambda deben estar en un VPC

[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad

[Lambda.6] Las funciones de Lambda deben estar etiquetadas

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.4] Los agentes de Amazon MQ deben estar etiquetados

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[NetworkFirewall.1] Los firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad

[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado

[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas

[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío

[NetworkFirewall.7] Los firewall de Network Firewall se deben etiquetar

[NetworkFirewall.8] Las políticas de firewall de Network Firewall se deben etiquetar

Los firewalls de Network Firewall [NetworkFirewall.9] deben tener habilitada la protección de eliminación

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente

Los OpenSearch dominios [Opensearch.9] deben estar etiquetados

Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados

La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada

Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación

[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch

La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS

La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS

Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad

Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado

Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse

[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse

[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse

[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse

[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

[Redshift.11] Los clústeres de Redshift deben etiquetarse

[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse

[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse

[Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse

[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público

[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público

[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker AI notebook no deberían tener acceso directo a Internet

[SageMaker.4] Las variantes de producción de terminales de SageMaker IA deben tener un recuento inicial de instancias superior a 1

[SES.1] Las listas de contactos de SES deben estar etiquetadas

[SES.2] Los conjuntos de configuración de SES deben estar etiquetados

[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados

[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días

[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados

[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una organización de AWS

[SNS.3] SNS los temas deben estar etiquetados

[SQS.2] Las colas de SQS deben estar etiquetadas

[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas

[Transfer.1] AWS Transfer Family Los flujos de trabajo deben estar etiquetados

[Transfer.2] Los servidores Transfer Family no deben usar el FTP protocolo para la conexión de puntos finales

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.11] El ACL registro AWS WAF web debe estar habilitado

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[ACM.1] Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.3] Los volúmenes adjuntos de Amazon EBS deben cifrarse en reposo

[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2

[EC2.12] Amazon no utilizado EC2 EIPs debería retirarse

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22

[EC2.14] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 3389

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo

[ELB.1] Application Load Balancer debe configurarse para redirigir todas las HTTP solicitudes a HTTPS

[ELB.2] Los balanceadores de carga clásicos con HTTPS listenersSSL/deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos

[ELB.8] Los balanceadores de carga clásicos que utilizan dispositivos de SSL escucha deben usar una política de seguridad predefinida que tenga una larga duración AWS Config

[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con Support

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse

[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse

[IoT.3] Las dimensiones de AWS IoT Core deben etiquetarse

[IoT.4] Los autorizadores de AWS IoT Core deben etiquetarse

[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse

[IoT.6] Las políticas de AWS IoT Core deben etiquetarse

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de bases de datos de Neptune deben tener habilitada la autenticación de bases de datos IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

[RDS.1] La instantánea de RDS debe ser privada

Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas

[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker AI notebook no deberían tener acceso directo a Internet

[SSM.2] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad con el parche COMPLIANT tras la instalación de un parche

[SSM.3] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.11] El ACL registro AWS WAF web debe estar habilitado

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

[ACM.1] Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico

[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations

[APIGateway.3] REST API Las etapas de API Gateway deben tener habilitado el AWS X-Ray rastreo

[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL

[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado

Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo

[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse

[Backup.4] Los planes de informes de AWS Backup deben etiquetarse

[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

[CloudWatch.16] Los grupos de registros de CloudWatch deben retenerse durante un periodo específico

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.2] DMS los certificados deben estar etiquetados

[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas

[DMS.4] las instancias de DMS replicación deben estar etiquetadas

[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados

[DMS.6] las instancias de DMS replicación deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] las tareas de DMS replicación de la base de datos de destino deben tener habilitado el registro

[DMS.8] las tareas de DMS replicación de la base de datos de origen deben tener el registro activado

[DMS.9] Los DMS puntos finales deben utilizar SSL

[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM

[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación

[DMS.12] DMS Los puntos finales de Redis deberían estar habilitados OSS TLS

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda

[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante o saliente

[EC2.3] Los volúmenes adjuntos de Amazon EBS deben cifrarse en reposo

[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas VPCs

[EC2.7] El cifrado predeterminado de EBS debe estar activado

[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2

[EC2.9] EC2 Las instancias de Amazon no deben tener una dirección pública IPv4

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22

[EC2.14] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 3389

[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas

[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas

[EC2.17] EC2 Las instancias de Amazon no deberían usar múltiples ENIs

[EC2.18] Los grupos de seguridad solo deberían permitir el tráfico entrante sin restricciones en los puertos autorizados

[EC2.20] Los dos túneles VPN de una conexión AWS Site-to-Site VPN deben estar activos

[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.25] Las plantillas de EC2 lanzamiento de Amazon no deben asignar interfaces públicas IPs a las de red

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo

[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas

[EC2.40] Las pasarelas EC2 NAT deben estar etiquetadas

[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados

[EC2.51] Los puntos finales de EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.170] Las plantillas de EC2 lanzamiento deben utilizar la versión 2 () del Servicio de Metadatos de Instancia IMDSv2

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo

[ELB.1] Application Load Balancer debe configurarse para redirigir todas las HTTP solicitudes a HTTPS

[ELB.2] Los balanceadores de carga clásicos con HTTPS listenersSSL/deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con o con terminación HTTPS TLS

[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos

[ELB.5] El registro de aplicaciones y balanceadores de carga clásicos debe estar habilitado

[ELB.6] Los balanceadores de carga de aplicaciones, puertas de enlace y redes deben tener habilitada la protección contra eliminaciones

[ELB.8] Los balanceadores de carga clásicos que utilizan dispositivos de SSL escucha deben usar una política de seguridad predefinida que tenga una larga duración AWS Config

[ELB.9] Los balanceadores de carga clásicos deberían tener activado el balanceo de cargas entre zonas

[ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL

[ElastiCache.1] Los clústeres ElastiCache (RedisOSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.6] Los grupos de replicación ElastiCache (RedisOSS) de versiones anteriores deberían tener Redis activado OSS AUTH

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[Glue.1] los AWS Glue trabajos deben estar etiquetados

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[GuardDuty.3] GuardDuty IPSets debe estar etiquetado

[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con Support

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.24] Los roles de IAM deben etiquetarse

[IAM.25] Los usuarios de IAM deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener la política adjunta AWSCloud ShellFullAccess

[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado

[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse

[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse

[IoT.3] Las dimensiones de AWS IoT Core deben etiquetarse

[IoT.4] Los autorizadores de AWS IoT Core deben etiquetarse

[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse

[IoT.6] Las políticas de AWS IoT Core deben etiquetarse

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

La rotación de AWS KMS teclas [KMS.4] debe estar habilitada

[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público

[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos

[Lambda.3] Las funciones lambda deben estar en un VPC

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias

[MQ.4] Los agentes de Amazon MQ deben estar etiquetados

[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera

[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de bases de datos de Neptune deben tener habilitada la autenticación de bases de datos IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente

Los OpenSearch dominios [Opensearch.9] deben estar etiquetados

Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software

Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados

[RDS.1] La instantánea de RDS debe ser privada

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas

Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad

Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]

Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación

Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación

[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch

La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS

Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas

La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS

Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales

[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes de uso SSL

[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS

[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público

[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor

[S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos

[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker AI notebook no deberían tener acceso directo a Internet

[SageMaker.2] Las instancias de SageMaker AI notebook deben lanzarse en una VPC personalizada

[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker AI Notebook

[SES.1] Las listas de contactos de SES deben estar etiquetadas

[SES.2] Los conjuntos de configuración de SES deben estar etiquetados

[SNS.1] SNS los temas deben cifrarse en reposo mediante AWS KMS

Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo

[SQS.2] Las colas de SQS deben estar etiquetadas

[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager

[SSM.2] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad con el parche COMPLIANT tras la instalación de un parche

[SSM.3] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.10] la AWS WAF web ACLs debe tener al menos una regla o grupo de reglas

[WAF.11] El ACL registro AWS WAF web debe estar habilitado

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

[ACM.1] Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico

[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado

Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo

[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse

[Backup.4] Los planes de informes de AWS Backup deben etiquetarse

[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.2] DMS los certificados deben estar etiquetados

[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas

[DMS.4] las instancias de DMS replicación deben estar etiquetadas

[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados

[DMS.6] las instancias de DMS replicación deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] las tareas de DMS replicación de la base de datos de destino deben tener habilitado el registro

[DMS.8] las tareas de DMS replicación de la base de datos de origen deben tener el registro activado

[DMS.9] Los DMS puntos finales deben utilizar SSL

[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM

[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación

[DMS.12] DMS Los puntos finales de Redis deberían estar habilitados OSS TLS

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda

[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante o saliente

[EC2.3] Los volúmenes adjuntos de Amazon EBS deben cifrarse en reposo

[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas VPCs

[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2

[EC2.9] EC2 Las instancias de Amazon no deben tener una dirección pública IPv4

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22

[EC2.14] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 3389

[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas

[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas

[EC2.17] EC2 Las instancias de Amazon no deberían usar múltiples ENIs

[EC2.18] Los grupos de seguridad solo deberían permitir el tráfico entrante sin restricciones en los puertos autorizados

[EC2.20] Los dos túneles VPN de una conexión AWS Site-to-Site VPN deben estar activos

[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.25] Las plantillas de EC2 lanzamiento de Amazon no deben asignar interfaces públicas IPs a las de red

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo

[EC2.51] Los puntos finales de EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.170] Las plantillas de EC2 lanzamiento deben utilizar la versión 2 () del Servicio de Metadatos de Instancia IMDSv2

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo

[ELB.1] Application Load Balancer debe configurarse para redirigir todas las HTTP solicitudes a HTTPS

[ELB.2] Los balanceadores de carga clásicos con HTTPS listenersSSL/deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con o con terminación HTTPS TLS

[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos

[ELB.8] Los balanceadores de carga clásicos que utilizan dispositivos de SSL escucha deben usar una política de seguridad predefinida que tenga una larga duración AWS Config

[ELB.9] Los balanceadores de carga clásicos deberían tener activado el balanceo de cargas entre zonas

[ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL

[ElastiCache.1] Los clústeres ElastiCache (RedisOSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.6] Los grupos de replicación ElastiCache (RedisOSS) de versiones anteriores deberían tener Redis activado OSS AUTH

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[Glue.1] los AWS Glue trabajos deben estar etiquetados

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[GuardDuty.3] GuardDuty IPSets debe estar etiquetado

[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con Support

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.24] Los roles de IAM deben etiquetarse

[IAM.25] Los usuarios de IAM deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener la política adjunta AWSCloud ShellFullAccess

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse

[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse

[IoT.3] Las dimensiones de AWS IoT Core deben etiquetarse

[IoT.4] Los autorizadores de AWS IoT Core deben etiquetarse

[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse

[IoT.6] Las políticas de AWS IoT Core deben etiquetarse

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias

[MQ.4] Los agentes de Amazon MQ deben estar etiquetados

[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera

[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de bases de datos de Neptune deben tener habilitada la autenticación de bases de datos IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente

Los OpenSearch dominios [Opensearch.9] deben estar etiquetados

Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software

Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados

[RDS.1] La instantánea de RDS debe ser privada

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad

Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público

[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker AI notebook no deberían tener acceso directo a Internet

[SageMaker.2] Las instancias de SageMaker AI notebook deben lanzarse en una VPC personalizada

[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker AI Notebook

[SES.1] Las listas de contactos de SES deben estar etiquetadas

[SES.2] Los conjuntos de configuración de SES deben estar etiquetados

[SNS.1] SNS los temas deben cifrarse en reposo mediante AWS KMS

Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo

[SQS.2] Las colas de SQS deben estar etiquetadas

[SSM.2] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad con el parche COMPLIANT tras la instalación de un parche

[SSM.3] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.10] la AWS WAF web ACLs debe tener al menos una regla o grupo de reglas

[WAF.11] El ACL registro AWS WAF web debe estar habilitado

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

[ACM.1] Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico

[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.2] AWS AppSync debe tener activado el registro a nivel de campo

[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves API

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado

[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas

Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo

[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse

[Backup.4] Los planes de informes de AWS Backup deben etiquetarse

[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas

[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo

[DataSync.1] Las tareas de DataSync deben tener el registro habilitado

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.2] DMS los certificados deben estar etiquetados

[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas

[DMS.4] las instancias de DMS replicación deben estar etiquetadas

[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados

[DMS.6] las instancias de DMS replicación deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] las tareas de DMS replicación de la base de datos de destino deben tener habilitado el registro

[DMS.8] las tareas de DMS replicación de la base de datos de origen deben tener el registro activado

[DMS.9] Los DMS puntos finales deben utilizar SSL

[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM

[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación

[DMS.12] DMS Los puntos finales de Redis deberían estar habilitados OSS TLS

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.3] Los volúmenes adjuntos de Amazon EBS deben cifrarse en reposo

[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas VPCs

[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio de Amazon EC2

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22

[EC2.14] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 3389

[EC2.18] Los grupos de seguridad solo deberían permitir el tráfico entrante sin restricciones en los puertos autorizados

[EC2.20] Los dos túneles VPN de una conexión AWS Site-to-Site VPN deben estar activos

[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.25] Las plantillas de EC2 lanzamiento de Amazon no deben asignar interfaces públicas IPs a las de red

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo

[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados

[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas

[EC2.40] Las pasarelas EC2 NAT deben estar etiquetadas

[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados

[EC2.51] Los puntos finales de EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR

[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry

[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.170] Las plantillas de EC2 lanzamiento deben utilizar la versión 2 () del Servicio de Metadatos de Instancia IMDSv2

[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas

[ECR.3] ECR Los repositorios deben tener configurada al menos una política de ciclo de vida

[ECR.4] Los repositorios ECR públicos deben estar etiquetados

[ECS.1] Las definiciones de ECS tareas de Amazon deben tener modos de red seguros y definiciones de usuario.

[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro

[ECS.16] Los conjuntos de ECS tareas no deben asignar automáticamente direcciones IP públicas

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo

[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz

[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario

[EFS.6] Los destinos de EFS montaje no deben estar asociados a una subred pública

[EFS.7] los sistemas de EFS archivos deben tener habilitadas las copias de seguridad automáticas

[EFS.8] los sistemas de EFS archivos deben cifrarse en reposo

[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes

[EKS.6] EKS los clústeres deben estar etiquetados

[EKS.7] Las configuraciones de los proveedores de EKS identidad deben estar etiquetadas

[EKS.8] EKS los clústeres deben tener habilitado el registro de auditoría

[ELB.1] Application Load Balancer debe configurarse para redirigir todas las HTTP solicitudes a HTTPS

[ELB.2] Los balanceadores de carga clásicos con HTTPS listenersSSL/deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos

[ELB.6] Los balanceadores de carga de aplicaciones, puertas de enlace y redes deben tener habilitada la protección contra eliminaciones

[ELB.8] Los balanceadores de carga clásicos que utilizan dispositivos de SSL escucha deben usar una política de seguridad predefinida que tenga una larga duración AWS Config

[ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL

[ElastiCache.1] Los clústeres ElastiCache (RedisOSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.2] ElastiCache Los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias

[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática

[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo

[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito

[ElastiCache.6] Los grupos de replicación ElastiCache (RedisOSS) de versiones anteriores deberían tener Redis activado OSS AUTH

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse

[GuardDuty.1] GuardDuty debe estar activado

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[GuardDuty.3] GuardDuty IPSets debe estar etiquetado

[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una duración estricta AWS Config

[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula

[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula

[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo

[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con Support

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.24] Los roles de IAM deben etiquetarse

[IAM.25] Los usuarios de IAM deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener la política adjunta AWSCloud ShellFullAccess

[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse

[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado

[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse

[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse

[IoT.3] Las dimensiones de AWS IoT Core deben etiquetarse

[IoT.4] Los autorizadores de AWS IoT Core deben etiquetarse

[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse