Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Límites regionales de los controles de Security Hub
La mayoría AWS de los controles de Security Hub están disponibles solo en una selección Regiones de AWS. En esta página se muestran los controles que no están disponibles en cada región. Un control no aparece en la lista de controles de la consola de Security Hub si no está disponible en la región en la que ha iniciado sesión. La excepción se produce si ha iniciado sesión en una región de agregación. En ese caso, puede ver los controles que están disponibles en la región de agregación o en una o más regiones vinculadas.
Contenido
- Este de EE. UU. (Norte de Virginia)
- Este de EE. UU. (Ohio)
- Oeste de EE. UU. (Norte de California)
- Oeste de EE. UU. (Oregón)
- África (Ciudad del Cabo)
- Asia-Pacífico (Hong Kong)
- Asia-Pacífico (Hyderabad)
- Asia-Pacífico (Yakarta)
- Asia Pacific (Bombay)
- Asia-Pacífico (Melbourne)
- Asia-Pacífico (Osaka)
- Asia-Pacífico (Seúl)
- Asia-Pacífico (Singapur)
- Asia-Pacífico (Sídney)
- Asia-Pacífico (Tokio)
- Canadá (centro)
- China (Pekín)
- China (Ningxia)
- Europe (Fráncfort)
- Europe (Irlanda)
- Europe (Londres)
- Europa (Milán)
- Europa (París)
- Europa (España)
- Europa (Estocolmo)
- Europa (Zúrich)
- Israel (Tel Aviv)
- Medio Oriente (Baréin)
- Oriente Medio (UAE)
- América del Sur (São Paulo)
- AWS GovCloud (EEUU-Este)
- AWS GovCloud (EEUU-Oeste)
Este de EE. UU. (Norte de Virginia)
Los siguientes controles no se admiten en el Este de EE. UU. (Norte de Virginia).
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
Este de EE. UU. (Ohio)
Los siguientes controles no se admiten en el Este de EE. UU. (Ohio).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Oeste de EE. UU. (Norte de California)
Los siguientes controles no se admiten en el Oeste de EE. UU. (Norte de California).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Oeste de EE. UU. (Oregón)
Los siguientes controles no se admiten en el Oeste de EE. UU. (Oregón).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
África (Ciudad del Cabo)
Los siguientes controles no se admiten en África (Ciudad del Cabo).
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync GraphQL no APIs debe autenticarse con claves API
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.3] EBS Los volúmenes adjuntos de Amazon deben cifrarse en reposo
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
-
[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos
-
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL
-
[EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados
-
[IoT 2] AWS IoT Core las acciones de mitigación deben estar etiquetadas
-
[IoT 3] AWS IoT Core las dimensiones deben estar etiquetadas
-
[IoT. 4] AWS IoT Core los autorizadores deben estar etiquetados
-
[IoT 5] AWS IoT Core los alias de los roles deben estar etiquetados
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[RDS.9] Las RDS instancias de base de datos deben publicar los registros en Logs CloudWatch
-
La IAM autenticación [RDS.10] debe configurarse para las instancias RDS
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
Asia-Pacífico (Hong Kong)
Los siguientes controles no se admiten en Asia-Pacífico (Hong Kong).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
La IAM autenticación [RDS.10] debe configurarse para las instancias RDS
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[SES.2] los conjuntos de SES configuración deben estar etiquetados
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Hyderabad)
Los siguientes controles no se admiten en Asia-Pacífico (Hyderabad).
-
[Cuenta. 2] Cuentas de AWS debe ser parte de un AWS Organizations organización
-
[APIGateway.3] REST API Las etapas de API Gateway deberían tener AWS X-Ray rastreo activado
-
[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL
-
[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync GraphQL no APIs debe autenticarse con claves API
-
[Athena.4] Los grupos de trabajo de Athena deben tener habilitado el registro
-
[Copia de seguridad.1] AWS Backup los puntos de recuperación deben estar cifrados en reposo
-
[Copia de seguridad.2] AWS Backup los puntos de recuperación deben estar etiquetados
-
[Respaldo. 4] AWS Backup los planes de informes deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registro AWS Config Duración
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas
-
[DMS.4] las instancias de DMS replicación deben estar etiquetadas
-
[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados
-
[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación
-
[DMS.12] DMS Los puntos finales de Redis OSS deberían estar habilitados TLS
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] EBS los volúmenes deben estar cubiertos por un plan de respaldo
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.48] Los registros de VPC flujo de Amazon deben estar etiquetados
-
[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas
-
[ECR.3] ECR Los repositorios deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro
-
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
-
[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz
-
[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario
-
[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes
-
[ELB.5] El registro de aplicaciones y balanceadores de carga clásicos debe estar habilitado
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas
-
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
-
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada
-
[IAM.1] IAM las políticas no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] IAM los usuarios no deberían tener IAM políticas adjuntas
-
[IAM.3] las claves IAM de acceso de los usuarios deben rotarse cada 90 días o menos
-
[IAM.5] MFA debería estar activado para todos los IAM usuarios que tengan una contraseña de consola
-
[IAM.8] Se deben eliminar las credenciales IAM de usuario no utilizadas
-
[IAM.19] MFA debe estar habilitado para todos los usuarios IAM
-
[IAM.22] Se deben eliminar las credenciales de IAM usuario que no se hayan utilizado durante 45 días
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[IAM.27] IAM las identidades no deberían tener la AWSCloudShellFullAccess política adjunta
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados
-
[IoT 2] AWS IoT Core las acciones de mitigación deben estar etiquetadas
-
[IoT 3] AWS IoT Core las dimensiones deben estar etiquetadas
-
[IoT. 4] AWS IoT Core los autorizadores deben estar etiquetados
-
[IoT 5] AWS IoT Core los alias de los roles deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.4] Los corredores de Amazon MQ deberían estar etiquetados
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] MSK los clústeres deben tener configurada una supervisión mejorada
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
[RDS.7] RDS los clústeres deben tener habilitada la protección contra la eliminación
-
[RDS.9] Las RDS instancias de base de datos deben publicar los registros en Logs CloudWatch
-
La IAM autenticación [RDS.12] debe configurarse para RDS los clústeres
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.15] Los clústeres de RDS bases de datos deben configurarse para varias zonas de disponibilidad
-
[RDS.26] Las RDS instancias de base de datos deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de RDS bases de datos deben cifrarse cuando están inactivos
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys
-
[SageMaker.2] las instancias de SageMaker notebook deberían lanzarse de forma personalizada VPC
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SES.2] los conjuntos de SES configuración deben estar etiquetados
-
[SQS.1] SQS Las colas de Amazon deberían estar cifradas en reposo
-
[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.2] AWS WAF Las normas regionales clásicas deben tener al menos una condición
-
[WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4] AWS WAF La web regional clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF la web ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Yakarta)
Los siguientes controles no se admiten en Asia-Pacífico (Yakarta).
-
[Cuenta. 2] Cuentas de AWS debe ser parte de un AWS Organizations organización
-
[APIGateway.3] REST API Las etapas de API Gateway deberían tener AWS X-Ray rastreo activado
-
[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL
-
[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync GraphQL no APIs debe autenticarse con claves API
-
[Copia de seguridad.1] AWS Backup los puntos de recuperación deben estar cifrados en reposo
-
[Copia de seguridad.2] AWS Backup los puntos de recuperación deben estar etiquetados
-
[Respaldo. 4] AWS Backup los planes de informes deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registro AWS Config Duración
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas
-
[DMS.4] las instancias de DMS replicación deben estar etiquetadas
-
[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados
-
[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación
-
[DMS.12] DMS Los puntos finales de Redis OSS deberían estar habilitados TLS
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] EBS los volúmenes deben estar cubiertos por un plan de respaldo
-
[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas
-
[ECR.3] ECR Los repositorios deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[ECS.3] las definiciones de ECS tareas no deben compartir el espacio de nombres de procesos del host
-
[ECS.4] los ECS contenedores deberían ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro
-
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
-
[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz
-
[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario
-
[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas
-
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
-
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Pegamento.2] AWS Glue los trabajos deberían tener habilitado el registro
-
[Pegamento.3] AWS Glue Las transformaciones de aprendizaje automático deben cifrarse en reposo
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados
-
[IoT 2] AWS IoT Core las acciones de mitigación deben estar etiquetadas
-
[IoT 3] AWS IoT Core las dimensiones deben estar etiquetadas
-
[IoT. 4] AWS IoT Core los autorizadores deben estar etiquetados
-
[IoT 5] AWS IoT Core los alias de los roles deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] MSK los clústeres deben tener configurada una supervisión mejorada
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[RDS.9] Las RDS instancias de base de datos deben publicar los registros en Logs CloudWatch
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.26] Las RDS instancias de base de datos deben protegerse mediante un plan de respaldo
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC
-
Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[S3.11] Los buckets de uso general de S3 deberían tener habilitadas las notificaciones de eventos
-
[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deberían lanzarse de forma personalizada VPC
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SQS.1] SQS Las colas de Amazon deberían estar cifradas en reposo
-
[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.2] AWS WAF Las normas regionales clásicas deben tener al menos una condición
-
[WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4] AWS WAF La web regional clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF la web ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia Pacific (Bombay)
Los siguientes controles no se admiten en Asia-Pacífico (Bombay).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
Asia-Pacífico (Melbourne)
Los siguientes controles no se admiten en Asia-Pacífico (Melbourne).
-
[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync GraphQL no APIs debe autenticarse con claves API
-
[Athena.4] Los grupos de trabajo de Athena deben tener habilitado el registro
-
[Copia de seguridad.1] AWS Backup los puntos de recuperación deben estar cifrados en reposo
-
[Copia de seguridad.2] AWS Backup los puntos de recuperación deben estar etiquetados
-
[Respaldo. 4] AWS Backup los planes de informes deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registro AWS Config Duración
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas
-
[DMS.4] las instancias de DMS replicación deben estar etiquetadas
-
[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados
-
[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación
-
[DMS.12] DMS Los puntos finales de Redis OSS deberían estar habilitados TLS
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.1] EBS Las instantáneas de Amazon no deberían poder restaurarse públicamente
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2
-
[EC2.9] EC2 Las instancias de Amazon no deben tener una dirección pública IPv4
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] EBS los volúmenes deben estar cubiertos por un plan de respaldo
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.48] Los registros de VPC flujo de Amazon deben estar etiquetados
-
[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro
-
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
-
[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz
-
[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario
-
[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes
-
[EKS.8] EKS los clústeres deben tener habilitado el registro de auditoría
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas
-
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
-
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada
-
[IAM.1] IAM las políticas no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] IAM los usuarios no deberían tener IAM políticas adjuntas
-
[IAM.3] las claves IAM de acceso de los usuarios deben rotarse cada 90 días o menos
-
[IAM.5] MFA debería estar activado para todos los IAM usuarios que tengan una contraseña de consola
-
[IAM.6] El hardware MFA debe estar habilitado para el usuario root
-
[IAM.8] Se deben eliminar las credenciales IAM de usuario no utilizadas
-
[IAM.11] Asegúrese de que la política de IAM contraseñas requiera al menos una letra mayúscula
-
[IAM.12] Asegúrese de que la política de IAM contraseñas requiera al menos una letra minúscula
-
[IAM.13] Asegúrese de que la política de IAM contraseñas requiera al menos un símbolo
-
[IAM.14] Asegúrese de que la política de IAM contraseñas requiera al menos un número
-
[IAM.16] Asegúrese de que la política de IAM contraseñas impida su reutilización
-
[IAM.19] MFA debe estar habilitado para todos los usuarios IAM
-
[IAM.22] Se deben eliminar las credenciales de IAM usuario que no se hayan utilizado durante 45 días
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[IAM.27] IAM las identidades no deberían tener la AWSCloudShellFullAccess política adjunta
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados
-
[IoT 2] AWS IoT Core las acciones de mitigación deben estar etiquetadas
-
[IoT 3] AWS IoT Core las dimensiones deben estar etiquetadas
-
[IoT. 4] AWS IoT Core los autorizadores deben estar etiquetados
-
[IoT 5] AWS IoT Core los alias de los roles deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] MSK los clústeres deben tener configurada una supervisión mejorada
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
[RDS.3] Las RDS instancias de base de datos deben tener activado el cifrado en reposo
-
[RDS.7] RDS los clústeres deben tener habilitada la protección contra la eliminación
-
La IAM autenticación [RDS.12] debe configurarse para RDS los clústeres
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.15] Los clústeres de RDS bases de datos deben configurarse para varias zonas de disponibilidad
-
[RDS.26] Las RDS instancias de base de datos deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de RDS bases de datos deben cifrarse cuando están inactivos
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[S3.14] Los buckets de uso general de S3 deberían tener habilitado el control de versiones
-
[S3.15] Los depósitos de uso general de S3 deberían tener activado Object Lock
-
[SageMaker.2] las instancias de SageMaker notebook deberían lanzarse de forma personalizada VPC
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SES.2] los conjuntos de SES configuración deben estar etiquetados
-
[SNS.1] SNS los temas deben cifrarse en reposo mediante AWS KMS
-
[SQS.1] SQS Las colas de Amazon deberían estar cifradas en reposo
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Osaka)
Los siguientes controles no se admiten en Asia-Pacífico (Osaka).
-
[Cuenta. 2] Cuentas de AWS debe ser parte de un AWS Organizations organización
-
[APIGateway.3] REST API Las etapas de API Gateway deberían tener AWS X-Ray rastreo activado
-
[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL
-
[Copia de seguridad.1] AWS Backup los puntos de recuperación deben estar cifrados en reposo
-
[Respaldo. 4] AWS Backup los planes de informes deben estar etiquetados
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudWatch.15] CloudWatch las alarmas deben tener configuradas las acciones especificadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registro AWS Config Duración
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.1] EBS Las instantáneas de Amazon no deberían poder restaurarse públicamente
-
[EC2.3] EBS Los volúmenes adjuntos de Amazon deben cifrarse en reposo
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2
-
[EC2.9] EC2 Las instancias de Amazon no deben tener una dirección pública IPv4
-
[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas
-
[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
-
[EC2.17] EC2 Las instancias de Amazon no deberían usar múltiples ENIs
-
[EC2.20] Ambos VPN túneles forman un AWS La VPN conexión de sitio a sitio debe estar activa
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] EBS los volúmenes deben estar cubiertos por un plan de respaldo
-
[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[ECS.3] las definiciones de ECS tareas no deben compartir el espacio de nombres de procesos del host
-
[ECS.4] los ECS contenedores deberían ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro
-
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
-
[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes
-
[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con o con terminación HTTPS TLS
-
[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos
-
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas
-
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.4] la clave de acceso del usuario IAM root no debería existir
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados
-
[IoT 2] AWS IoT Core las acciones de mitigación deben estar etiquetadas
-
[IoT 3] AWS IoT Core las dimensiones deben estar etiquetadas
-
[IoT. 4] AWS IoT Core los autorizadores deben estar etiquetados
-
[IoT 5] AWS IoT Core los alias de los roles deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
-
[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos
-
[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[RDS.6] Se debe configurar una supervisión mejorada para RDS las instancias de base de datos
-
[RDS.7] RDS los clústeres deben tener habilitada la protección contra la eliminación
-
[RDS.9] Las RDS instancias de base de datos deben publicar los registros en Logs CloudWatch
-
La IAM autenticación [RDS.10] debe configurarse para las instancias RDS
-
La IAM autenticación [RDS.12] debe configurarse para RDS los clústeres
-
[RDS.13] Las actualizaciones RDS automáticas de las versiones secundarias deben estar habilitadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.15] Los clústeres de RDS bases de datos deben configurarse para varias zonas de disponibilidad
-
[RDS.26] Las RDS instancias de base de datos deben protegerse mediante un plan de respaldo
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público
-
[S3.15] Los depósitos de uso general de S3 deberían tener activado Object Lock
-
[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys
-
[SNS.1] SNS los temas deben cifrarse en reposo mediante AWS KMS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF la web ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Seúl)
Los siguientes controles no se admiten en Asia-Pacífico (Seúl).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
Asia-Pacífico (Singapur)
Los siguientes controles no se admiten en Asia-Pacífico (Singapur).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
Asia-Pacífico (Sídney)
Los siguientes controles no se admiten en Asia-Pacífico (Sídney).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
Asia-Pacífico (Tokio)
Los siguientes controles no se admiten en Asia-Pacífico (Tokio).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
Canadá (centro)
Los siguientes controles no se admiten en Canadá (centro).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un período de retención de datos adecuado
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
China (Pekín)
Los siguientes controles no se admiten en China (Pekín).
-
[Cuenta. 2] Cuentas de AWS debe ser parte de un AWS Organizations organización
-
[APIGateway.3] REST API Las etapas de API Gateway deberían tener AWS X-Ray rastreo activado
-
[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados
-
[Copia de seguridad.1] AWS Backup los puntos de recuperación deben estar cifrados en reposo
-
[Copia de seguridad.2] AWS Backup los puntos de recuperación deben estar etiquetados
-
[Copia de seguridad.3] AWS Backup las bóvedas deben estar etiquetadas
-
[Respaldo. 4] AWS Backup los planes de informes deben estar etiquetados
-
[Respaldo. 5] AWS Backup los planes de respaldo deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudWatch.15] CloudWatch las alarmas deben tener configuradas las acciones especificadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas
-
[DMS.4] las instancias de DMS replicación deben estar etiquetadas
-
[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados
-
[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación
-
[DMS.12] DMS Los puntos finales de Redis OSS deberían estar habilitados TLS
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas
-
[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
-
[EC2.20] Ambos VPN túneles forman un AWS La VPN conexión de sitio a sitio debe estar activa
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.28] EBS los volúmenes deben estar cubiertos por un plan de respaldo
-
[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.36] Las pasarelas de EC2 clientes deben estar etiquetadas
-
[EC2.37] Las direcciones IP EC2 elásticas deben estar etiquetadas
-
[EC2.39] Las pasarelas EC2 de Internet deben estar etiquetadas
-
[EC2.43] los grupos EC2 de seguridad deben estar etiquetados
-
[EC2.47] Los servicios de Amazon VPC Endpoint Services deben estar etiquetados
-
[EC2.48] Los registros de VPC flujo de Amazon deben estar etiquetados
-
[EC2.49] VPC Las conexiones entre pares de Amazon deben estar etiquetadas
-
EC2VPNLas pasarelas de enlace [EC2.50] deben estar etiquetadas
-
[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas
-
[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[ECS.15] las definiciones de ECS tareas deben estar etiquetadas
-
[EFS.6] Los destinos de EFS montaje no deben estar asociados a una subred pública
-
[EKS.3] los EKS clústeres deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de EKS identidad deben estar etiquetadas
-
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de EMR bloqueo de acceso público de Amazon debe estar habilitada
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.5] La supervisión del registro de GuardDuty EKS auditoría debe estar habilitada
-
[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del GuardDuty EKS tiempo de ejecución debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[IAM.6] El hardware MFA debe estar habilitado para el usuario root
-
[IAM.23] Los analizadores de IAM Access Analyzer deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[IAM.27] IAM las identidades no deberían tener la AWSCloudShellFullAccess política adjunta
-
[IAM.28] El analizador de IAM acceso externo Access Analyzer debe estar activado
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados
-
[IoT 2] AWS IoT Core las acciones de mitigación deben estar etiquetadas
-
[IoT 3] AWS IoT Core las dimensiones deben estar etiquetadas
-
[IoT. 4] AWS IoT Core los autorizadores deben estar etiquetados
-
[IoT 5] AWS IoT Core los alias de los roles deben estar etiquetados
-
[Kinesis.2] Las transmisiones de Kinesis deben estar etiquetadas
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.4] Los corredores de Amazon MQ deberían estar etiquetados
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados
-
[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
[PCA.1] AWS Private CA la autoridad emisora de certificados raíz debe estar deshabilitada
-
[RDS.7] RDS los clústeres deben tener habilitada la protección contra la eliminación
-
La IAM autenticación [RDS.10] debe configurarse para las instancias RDS
-
La IAM autenticación [RDS.12] debe configurarse para RDS los clústeres
-
[RDS.13] Las actualizaciones RDS automáticas de las versiones secundarias deben estar habilitadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.15] Los clústeres de RDS bases de datos deben configurarse para varias zonas de disponibilidad
-
[RDS.26] Las RDS instancias de base de datos deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de RDS bases de datos deben cifrarse cuando están inactivos
-
[RDS.28] Los clústeres de RDS bases de datos deben etiquetarse
-
[RDS.29] Las instantáneas de los clústeres RDS de bases de datos deben estar etiquetadas
-
[RDS.30] Las RDS instancias de base de datos deben etiquetarse
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[RDS.32] Las instantáneas de bases de RDS datos deben estar etiquetadas
-
[RDS.33] Los grupos de subredes de RDS bases de datos deben etiquetarse
-
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.11] Los clústeres de Redshift deben estar etiquetados
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas
-
[Redshift.13] Las instantáneas del clúster de Redshift deben estar etiquetadas
-
[Redshift.14] Los grupos de subredes del clúster de Redshift deben estar etiquetados
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público
-
[S3.14] Los buckets de uso general de S3 deberían tener habilitado el control de versiones
-
[SES.2] los conjuntos de SES configuración deben estar etiquetados
-
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
-
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
-
[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
[Transferencia.1] AWS Transfer Family los flujos de trabajo deben estar etiquetados
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
China (Ningxia)
Los siguientes controles no se admiten en China (Ningxia).
-
[Cuenta. 2] Cuentas de AWS debe ser parte de un AWS Organizations organización
-
[APIGateway.3] REST API Las etapas de API Gateway deberían tener AWS X-Ray rastreo activado
-
[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados
-
[Copia de seguridad.1] AWS Backup los puntos de recuperación deben estar cifrados en reposo
-
[Copia de seguridad.2] AWS Backup los puntos de recuperación deben estar etiquetados
-
[Copia de seguridad.3] AWS Backup las bóvedas deben estar etiquetadas
-
[Respaldo. 4] AWS Backup los planes de informes deben estar etiquetados
-
[Respaldo. 5] AWS Backup los planes de respaldo deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudWatch.15] CloudWatch las alarmas deben tener configuradas las acciones especificadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas
-
[DMS.4] las instancias de DMS replicación deben estar etiquetadas
-
[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados
-
[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación
-
[DMS.12] DMS Los puntos finales de Redis OSS deberían estar habilitados TLS
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas
-
[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
-
[EC2.20] Ambos VPN túneles forman un AWS La VPN conexión de sitio a sitio debe estar activa
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] EBS los volúmenes deben estar cubiertos por un plan de respaldo
-
[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.36] Las pasarelas de EC2 clientes deben estar etiquetadas
-
[EC2.37] Las direcciones IP EC2 elásticas deben estar etiquetadas
-
[EC2.39] Las pasarelas EC2 de Internet deben estar etiquetadas
-
[EC2.43] los grupos EC2 de seguridad deben estar etiquetados
-
[EC2.47] Los servicios de Amazon VPC Endpoint Services deben estar etiquetados
-
[EC2.48] Los registros de VPC flujo de Amazon deben estar etiquetados
-
[EC2.49] VPC Las conexiones entre pares de Amazon deben estar etiquetadas
-
EC2VPNLas pasarelas de enlace [EC2.50] deben estar etiquetadas
-
[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas
-
[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[ECS.15] las definiciones de ECS tareas deben estar etiquetadas
-
[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz
-
[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario
-
[EFS.6] Los destinos de EFS montaje no deben estar asociados a una subred pública
-
[EKS.3] los EKS clústeres deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de EKS identidad deben estar etiquetadas
-
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de EMR bloqueo de acceso público de Amazon debe estar habilitada
-
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Pegamento.3] AWS Glue Las transformaciones de aprendizaje automático deben cifrarse en reposo
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.5] La supervisión del registro de GuardDuty EKS auditoría debe estar habilitada
-
[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del GuardDuty EKS tiempo de ejecución debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[IAM.6] El hardware MFA debe estar habilitado para el usuario root
-
[IAM.23] Los analizadores de IAM Access Analyzer deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[IAM.27] IAM las identidades no deberían tener la AWSCloudShellFullAccess política adjunta
-
[IAM.28] El analizador de IAM acceso externo Access Analyzer debe estar activado
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados
-
[IoT 2] AWS IoT Core las acciones de mitigación deben estar etiquetadas
-
[IoT 3] AWS IoT Core las dimensiones deben estar etiquetadas
-
[IoT. 4] AWS IoT Core los autorizadores deben estar etiquetados
-
[IoT 5] AWS IoT Core los alias de los roles deben estar etiquetados
-
[Kinesis.2] Las transmisiones de Kinesis deben estar etiquetadas
-
[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
-
[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos
-
[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.4] Los corredores de Amazon MQ deberían estar etiquetados
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados
-
[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
[PCA.1] AWS Private CA la autoridad emisora de certificados raíz debe estar deshabilitada
-
[RDS.7] RDS los clústeres deben tener habilitada la protección contra la eliminación
-
[RDS.9] Las RDS instancias de base de datos deben publicar los registros en Logs CloudWatch
-
La IAM autenticación [RDS.10] debe configurarse para las instancias RDS
-
La IAM autenticación [RDS.12] debe configurarse para RDS los clústeres
-
[RDS.13] Las actualizaciones RDS automáticas de las versiones secundarias deben estar habilitadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.15] Los clústeres de RDS bases de datos deben configurarse para varias zonas de disponibilidad
-
[RDS.26] Las RDS instancias de base de datos deben protegerse mediante un plan de respaldo
-
[RDS.28] Los clústeres de RDS bases de datos deben etiquetarse
-
[RDS.29] Las instantáneas de los clústeres RDS de bases de datos deben estar etiquetadas
-
[RDS.30] Las RDS instancias de base de datos deben etiquetarse
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[RDS.32] Las instantáneas de bases de RDS datos deben estar etiquetadas
-
[RDS.33] Los grupos de subredes de RDS bases de datos deben etiquetarse
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.11] Los clústeres de Redshift deben estar etiquetados
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas
-
[Redshift.13] Las instantáneas del clúster de Redshift deben estar etiquetadas
-
[Redshift.14] Los grupos de subredes del clúster de Redshift deben estar etiquetados
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público
-
[S3.14] Los buckets de uso general de S3 deberían tener habilitado el control de versiones
-
[SES.2] los conjuntos de SES configuración deben estar etiquetados
-
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
-
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
-
[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
[Transferencia.1] AWS Transfer Family los flujos de trabajo deben estar etiquetados
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
Europe (Fráncfort)
Los siguientes controles no se admiten en Europa (Fráncfort).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
Europe (Irlanda)
Los siguientes controles no se admiten en Europa (Irlanda).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
Europe (Londres)
Los siguientes controles no se admiten en Europa (Londres).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
Europa (Milán)
Los siguientes controles no se admiten en Europa (Milán).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.3] EBS Los volúmenes adjuntos de Amazon deben cifrarse en reposo
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
-
[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos
-
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL
-
[EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados
-
[IoT 2] AWS IoT Core las acciones de mitigación deben estar etiquetadas
-
[IoT 3] AWS IoT Core las dimensiones deben estar etiquetadas
-
[IoT. 4] AWS IoT Core los autorizadores deben estar etiquetados
-
[IoT 5] AWS IoT Core los alias de los roles deben estar etiquetados
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
[RDS.9] Las RDS instancias de base de datos deben publicar los registros en Logs CloudWatch
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Europa (París)
Los siguientes controles no se admiten en Europa (París).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Europa (España)
Los siguientes controles no se admiten en Europa (España).
-
[Cuenta. 2] Cuentas de AWS debe ser parte de un AWS Organizations organización
-
[APIGateway.3] REST API Las etapas de API Gateway deberían tener AWS X-Ray rastreo activado
-
[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL
-
[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync GraphQL no APIs debe autenticarse con claves API
-
[Athena.4] Los grupos de trabajo de Athena deben tener habilitado el registro
-
[Copia de seguridad.1] AWS Backup los puntos de recuperación deben estar cifrados en reposo
-
[Copia de seguridad.2] AWS Backup los puntos de recuperación deben estar etiquetados
-
[Respaldo. 4] AWS Backup los planes de informes deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registro AWS Config Duración
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas
-
[DMS.4] las instancias de DMS replicación deben estar etiquetadas
-
[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados
-
[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación
-
[DMS.12] DMS Los puntos finales de Redis OSS deberían estar habilitados TLS
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.1] EBS Las instantáneas de Amazon no deberían poder restaurarse públicamente
-
[EC2.3] EBS Los volúmenes adjuntos de Amazon deben cifrarse en reposo
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.6] El registro VPC de flujos debe estar habilitado en todas VPCs
-
[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2
-
[EC2.9] EC2 Las instancias de Amazon no deben tener una dirección pública IPv4
-
[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas
-
[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
-
[EC2.17] EC2 Las instancias de Amazon no deberían usar múltiples ENIs
-
[EC2.20] Ambos VPN túneles forman un AWS La VPN conexión de sitio a sitio debe estar activa
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] EBS los volúmenes deben estar cubiertos por un plan de respaldo
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.48] Los registros de VPC flujo de Amazon deben estar etiquetados
-
[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas
-
[ECR.3] ECR Los repositorios deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro
-
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
-
[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz
-
[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario
-
[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes
-
[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con o con terminación HTTPS TLS
-
[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos
-
[ELB.5] El registro de aplicaciones y balanceadores de carga clásicos debe estar habilitado
-
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas
-
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
-
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada
-
[IAM.1] IAM las políticas no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] IAM los usuarios no deberían tener IAM políticas adjuntas
-
[IAM.3] las claves IAM de acceso de los usuarios deben rotarse cada 90 días o menos
-
[IAM.4] la clave de acceso del usuario IAM root no debería existir
-
[IAM.5] MFA debería estar activado para todos los IAM usuarios que tengan una contraseña de consola
-
[IAM.8] Se deben eliminar las credenciales IAM de usuario no utilizadas
-
[IAM.19] MFA debe estar habilitado para todos los usuarios IAM
-
[IAM.22] Se deben eliminar las credenciales de IAM usuario que no se hayan utilizado durante 45 días
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[IAM.27] IAM las identidades no deberían tener la AWSCloudShellFullAccess política adjunta
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados
-
[IoT 2] AWS IoT Core las acciones de mitigación deben estar etiquetadas
-
[IoT 3] AWS IoT Core las dimensiones deben estar etiquetadas
-
[IoT. 4] AWS IoT Core los autorizadores deben estar etiquetados
-
[IoT 5] AWS IoT Core los alias de los roles deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
-
[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos
-
[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.4] Los corredores de Amazon MQ deberían estar etiquetados
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] MSK los clústeres deben tener configurada una supervisión mejorada
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
[RDS.3] Las RDS instancias de base de datos deben tener activado el cifrado en reposo
-
[RDS.5] Las RDS instancias de base de datos deben configurarse con varias zonas de disponibilidad
-
[RDS.6] Se debe configurar una supervisión mejorada para RDS las instancias de base de datos
-
[RDS.7] RDS los clústeres deben tener habilitada la protección contra la eliminación
-
[RDS.9] Las RDS instancias de base de datos deben publicar los registros en Logs CloudWatch
-
La IAM autenticación [RDS.10] debe configurarse para las instancias RDS
-
[RDS.11] las RDS instancias deben tener habilitadas las copias de seguridad automáticas
-
La IAM autenticación [RDS.12] debe configurarse para RDS los clústeres
-
[RDS.13] Las actualizaciones RDS automáticas de las versiones secundarias deben estar habilitadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.15] Los clústeres de RDS bases de datos deben configurarse para varias zonas de disponibilidad
-
[RDS.26] Las RDS instancias de base de datos deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de RDS bases de datos deben cifrarse cuando están inactivos
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes de uso SSL
-
[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público
-
[S3.15] Los depósitos de uso general de S3 deberían tener activado Object Lock
-
[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys
-
[SageMaker.2] las instancias de SageMaker notebook deberían lanzarse de forma personalizada VPC
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SES.2] los conjuntos de SES configuración deben estar etiquetados
-
[SNS.1] SNS los temas deben cifrarse en reposo mediante AWS KMS
-
[SQS.1] SQS Las colas de Amazon deberían estar cifradas en reposo
-
[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.2] AWS WAF Las normas regionales clásicas deben tener al menos una condición
-
[WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4] AWS WAF La web regional clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF la web ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Europa (Estocolmo)
Los siguientes controles no se admiten en Europa (Estocolmo).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Europa (Zúrich)
Los siguientes controles no se admiten en Europa (Zúrich).
-
[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync GraphQL no APIs debe autenticarse con claves API
-
[Athena.4] Los grupos de trabajo de Athena deben tener habilitado el registro
-
[Copia de seguridad.1] AWS Backup los puntos de recuperación deben estar cifrados en reposo
-
[Copia de seguridad.2] AWS Backup los puntos de recuperación deben estar etiquetados
-
[Respaldo. 4] AWS Backup los planes de informes deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registro AWS Config Duración
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas
-
[DMS.4] las instancias de DMS replicación deben estar etiquetadas
-
[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados
-
[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación
-
[DMS.12] DMS Los puntos finales de Redis OSS deberían estar habilitados TLS
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.3] EBS Los volúmenes adjuntos de Amazon deben cifrarse en reposo
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.6] El registro VPC de flujos debe estar habilitado en todas VPCs
-
[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2
-
[EC2.9] EC2 Las instancias de Amazon no deben tener una dirección pública IPv4
-
[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas
-
[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
-
[EC2.17] EC2 Las instancias de Amazon no deberían usar múltiples ENIs
-
[EC2.20] Ambos VPN túneles forman un AWS La VPN conexión de sitio a sitio debe estar activa
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] EBS los volúmenes deben estar cubiertos por un plan de respaldo
-
[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas
-
[ECR.3] ECR Los repositorios deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro
-
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
-
[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz
-
[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario
-
[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes
-
[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con o con terminación HTTPS TLS
-
[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos
-
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas
-
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
-
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada
-
[IAM.1] IAM las políticas no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] IAM los usuarios no deberían tener IAM políticas adjuntas
-
[IAM.3] las claves IAM de acceso de los usuarios deben rotarse cada 90 días o menos
-
[IAM.4] la clave de acceso del usuario IAM root no debería existir
-
[IAM.5] MFA debería estar activado para todos los IAM usuarios que tengan una contraseña de consola
-
[IAM.8] Se deben eliminar las credenciales IAM de usuario no utilizadas
-
[IAM.19] MFA debe estar habilitado para todos los usuarios IAM
-
[IAM.22] Se deben eliminar las credenciales de IAM usuario que no se hayan utilizado durante 45 días
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[IAM.27] IAM las identidades no deberían tener la AWSCloudShellFullAccess política adjunta
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados
-
[IoT 2] AWS IoT Core las acciones de mitigación deben estar etiquetadas
-
[IoT 3] AWS IoT Core las dimensiones deben estar etiquetadas
-
[IoT. 4] AWS IoT Core los autorizadores deben estar etiquetados
-
[IoT 5] AWS IoT Core los alias de los roles deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.4] Los corredores de Amazon MQ deberían estar etiquetados
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] MSK los clústeres deben tener configurada una supervisión mejorada
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
[RDS.3] Las RDS instancias de base de datos deben tener activado el cifrado en reposo
-
[RDS.5] Las RDS instancias de base de datos deben configurarse con varias zonas de disponibilidad
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.26] Las RDS instancias de base de datos deben protegerse mediante un plan de respaldo
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público
-
[SageMaker.2] las instancias de SageMaker notebook deberían lanzarse de forma personalizada VPC
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SES.2] los conjuntos de SES configuración deben estar etiquetados
-
[SNS.1] SNS los temas deben cifrarse en reposo mediante AWS KMS
-
[SQS.1] SQS Las colas de Amazon deberían estar cifradas en reposo
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.2] AWS WAF Las normas regionales clásicas deben tener al menos una condición
-
[WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4] AWS WAF La web regional clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF la web ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Israel (Tel Aviv)
Los siguientes controles no se admiten en Israel (Tel Aviv).
-
[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync GraphQL no APIs debe autenticarse con claves API
-
[Athena.4] Los grupos de trabajo de Athena deben tener habilitado el registro
-
[Copia de seguridad.1] AWS Backup los puntos de recuperación deben estar cifrados en reposo
-
[Copia de seguridad.2] AWS Backup los puntos de recuperación deben estar etiquetados
-
[Respaldo. 4] AWS Backup los planes de informes deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registro AWS Config Duración
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[DataSync.1] DataSync las tareas deben tener el registro activado
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas
-
[DMS.4] las instancias de DMS replicación deben estar etiquetadas
-
[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados
-
[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación
-
[DMS.12] DMS Los puntos finales de Redis OSS deberían estar habilitados TLS
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.3] EBS Los volúmenes adjuntos de Amazon deben cifrarse en reposo
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.6] El registro VPC de flujos debe estar habilitado en todas VPCs
-
[EC2.20] Ambos VPN túneles forman un AWS La VPN conexión de sitio a sitio debe estar activa
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] EBS los volúmenes deben estar cubiertos por un plan de respaldo
-
[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.48] Los registros de VPC flujo de Amazon deben estar etiquetados
-
[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas
-
[ECR.3] ECR Los repositorios deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro
-
[ECS.16] Los conjuntos de ECS tareas no deben asignar automáticamente direcciones IP públicas
-
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
-
[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz
-
[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario
-
[EFS.6] Los destinos de EFS montaje no deben estar asociados a una subred pública
-
[EFS.7] los sistemas de EFS archivos deben tener habilitadas las copias de seguridad automáticas
-
[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes
-
[EKS.3] los EKS clústeres deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de EKS identidad deben estar etiquetadas
-
[EKS.8] EKS los clústeres deben tener habilitado el registro de auditoría
-
[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos
-
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas
-
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
-
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada
-
[IAM.1] IAM las políticas no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] IAM los usuarios no deberían tener IAM políticas adjuntas
-
[IAM.3] las claves IAM de acceso de los usuarios deben rotarse cada 90 días o menos
-
[IAM.4] la clave de acceso del usuario IAM root no debería existir
-
[IAM.5] MFA debería estar activado para todos los IAM usuarios que tengan una contraseña de consola
-
[IAM.6] El hardware MFA debe estar habilitado para el usuario root
-
[IAM.7] Las políticas de contraseñas para IAM los usuarios deben tener una configuración sólida
-
[IAM.8] Se deben eliminar las credenciales IAM de usuario no utilizadas
-
[IAM.11] Asegúrese de que la política de IAM contraseñas requiera al menos una letra mayúscula
-
[IAM.12] Asegúrese de que la política de IAM contraseñas requiera al menos una letra minúscula
-
[IAM.13] Asegúrese de que la política de IAM contraseñas requiera al menos un símbolo
-
[IAM.14] Asegúrese de que la política de IAM contraseñas requiera al menos un número
-
[IAM.16] Asegúrese de que la política de IAM contraseñas impida su reutilización
-
[IAM.19] MFA debe estar habilitado para todos los usuarios IAM
-
[IAM.22] Se deben eliminar las credenciales de IAM usuario que no se hayan utilizado durante 45 días
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[IAM.27] IAM las identidades no deberían tener la AWSCloudShellFullAccess política adjunta
-
[IAM.28] El analizador de IAM acceso externo Access Analyzer debe estar activado
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados
-
[IoT 2] AWS IoT Core las acciones de mitigación deben estar etiquetadas
-
[IoT 3] AWS IoT Core las dimensiones deben estar etiquetadas
-
[IoT. 4] AWS IoT Core los autorizadores deben estar etiquetados
-
[IoT 5] AWS IoT Core los alias de los roles deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.2] Las transmisiones de Kinesis deben estar etiquetadas
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un período de retención de datos adecuado
-
[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.4] Los corredores de Amazon MQ deberían estar etiquetados
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] MSK los clústeres deben tener configurada una supervisión mejorada
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
[PCA.1] AWS Private CA la autoridad emisora de certificados raíz debe estar deshabilitada
-
[RDS.7] RDS los clústeres deben tener habilitada la protección contra la eliminación
-
La IAM autenticación [RDS.12] debe configurarse para RDS los clústeres
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.15] Los clústeres de RDS bases de datos deben configurarse para varias zonas de disponibilidad
-
[RDS.26] Las RDS instancias de base de datos deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de RDS bases de datos deben cifrarse cuando están inactivos
-
[RDS.29] Las instantáneas de los clústeres RDS de bases de datos deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[S3.2] Los depósitos de uso general de S3 deberían bloquear el acceso público de lectura
-
[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso público de escritura
-
[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público
-
[SageMaker.2] las instancias de SageMaker notebook deberían lanzarse de forma personalizada VPC
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SNS.1] SNS los temas deben cifrarse en reposo mediante AWS KMS
-
[SQS.1] SQS Las colas de Amazon deberían estar cifradas en reposo
-
[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.2] AWS WAF Las normas regionales clásicas deben tener al menos una condición
-
[WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4] AWS WAF La web regional clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.12] AWS WAF las reglas deben tener las CloudWatch métricas habilitadas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Medio Oriente (Baréin)
Los siguientes controles no se admiten en Medio Oriente (Baréin).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.20] Ambos VPN túneles forman un AWS La VPN conexión de sitio a sitio debe estar activa
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[RDS.7] RDS los clústeres deben tener habilitada la protección contra la eliminación
-
La IAM autenticación [RDS.12] debe configurarse para RDS los clústeres
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.15] Los clústeres de RDS bases de datos deben configurarse para varias zonas de disponibilidad
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Oriente Medio (UAE)
Los siguientes controles no se admiten en Oriente Medio (UAE).
-
[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync GraphQL no APIs debe autenticarse con claves API
-
[Copia de seguridad.1] AWS Backup los puntos de recuperación deben estar cifrados en reposo
-
[Copia de seguridad.2] AWS Backup los puntos de recuperación deben estar etiquetados
-
[Respaldo. 4] AWS Backup los planes de informes deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudWatch.15] CloudWatch las alarmas deben tener configuradas las acciones especificadas
-
[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registro AWS Config Duración
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas
-
[DMS.4] las instancias de DMS replicación deben estar etiquetadas
-
[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados
-
[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación
-
[DMS.12] DMS Los puntos finales de Redis OSS deberían estar habilitados TLS
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.3] EBS Los volúmenes adjuntos de Amazon deben cifrarse en reposo
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.6] El registro VPC de flujos debe estar habilitado en todas VPCs
-
[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] EBS los volúmenes deben estar cubiertos por un plan de respaldo
-
[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas
-
[ECR.3] ECR Los repositorios deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro
-
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
-
[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz
-
[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario
-
[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes
-
[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con o con terminación HTTPS TLS
-
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada
-
[IAM.1] IAM las políticas no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] IAM los usuarios no deberían tener IAM políticas adjuntas
-
[IAM.3] las claves IAM de acceso de los usuarios deben rotarse cada 90 días o menos
-
[IAM.4] la clave de acceso del usuario IAM root no debería existir
-
[IAM.5] MFA debería estar activado para todos los IAM usuarios que tengan una contraseña de consola
-
[IAM.6] El hardware MFA debe estar habilitado para el usuario root
-
[IAM.8] Se deben eliminar las credenciales IAM de usuario no utilizadas
-
[IAM.19] MFA debe estar habilitado para todos los usuarios IAM
-
[IAM.22] Se deben eliminar las credenciales de IAM usuario que no se hayan utilizado durante 45 días
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[IAM.27] IAM las identidades no deberían tener la AWSCloudShellFullAccess política adjunta
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] MSK los clústeres deben tener configurada una supervisión mejorada
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
[RDS.3] Las RDS instancias de base de datos deben tener activado el cifrado en reposo
-
[RDS.5] Las RDS instancias de base de datos deben configurarse con varias zonas de disponibilidad
-
[RDS.6] Se debe configurar una supervisión mejorada para RDS las instancias de base de datos
-
[RDS.11] las RDS instancias deben tener habilitadas las copias de seguridad automáticas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.26] Las RDS instancias de base de datos deben protegerse mediante un plan de respaldo
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[S3.2] Los depósitos de uso general de S3 deberían bloquear el acceso público de lectura
-
[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso público de escritura
-
[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes de uso SSL
-
[S3.14] Los buckets de uso general de S3 deberían tener habilitado el control de versiones
-
[SageMaker.2] las instancias de SageMaker notebook deberían lanzarse de forma personalizada VPC
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SES.2] los conjuntos de SES configuración deben estar etiquetados
-
[SNS.1] SNS los temas deben cifrarse en reposo mediante AWS KMS
-
[SQS.1] SQS Las colas de Amazon deberían estar cifradas en reposo
-
[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.2] AWS WAF Las normas regionales clásicas deben tener al menos una condición
-
[WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4] AWS WAF La web regional clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF la web ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
América del Sur (São Paulo)
Los siguientes controles no se admiten en América del Sur (São Paulo).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados
-
[IoT 2] AWS IoT Core las acciones de mitigación deben estar etiquetadas
-
[IoT 3] AWS IoT Core las dimensiones deben estar etiquetadas
-
[RDS.7] RDS los clústeres deben tener habilitada la protección contra la eliminación
-
La IAM autenticación [RDS.12] debe configurarse para RDS los clústeres
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.15] Los clústeres de RDS bases de datos deben configurarse para varias zonas de disponibilidad
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
AWS GovCloud (EEUU-Este)
Los siguientes controles no se admiten en AWS GovCloud (EE. UU. Este).
-
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
-
[Cuenta. 2] Cuentas de AWS debe ser parte de un AWS Organizations organización
-
[APIGateway.3] REST API Las etapas de API Gateway deberían tener AWS X-Ray rastreo activado
-
[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL
-
[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync GraphQL no APIs debe autenticarse con claves API
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados
-
[Copia de seguridad.2] AWS Backup los puntos de recuperación deben estar etiquetados
-
[Copia de seguridad.3] AWS Backup las bóvedas deben estar etiquetadas
-
[Respaldo. 4] AWS Backup los planes de informes deben estar etiquetados
-
[Respaldo. 5] AWS Backup los planes de respaldo deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudWatch.15] CloudWatch las alarmas deben tener configuradas las acciones especificadas
-
[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registro AWS Config Duración
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas
-
[DMS.4] las instancias de DMS replicación deben estar etiquetadas
-
[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas
-
[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
-
[EC2.17] EC2 Las instancias de Amazon no deberían usar múltiples ENIs
-
[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] EBS los volúmenes deben estar cubiertos por un plan de respaldo
-
[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.36] Las pasarelas de EC2 clientes deben estar etiquetadas
-
[EC2.37] Las direcciones IP EC2 elásticas deben estar etiquetadas
-
[EC2.39] Las pasarelas EC2 de Internet deben estar etiquetadas
-
[EC2.43] los grupos EC2 de seguridad deben estar etiquetados
-
[EC2.47] Los servicios de Amazon VPC Endpoint Services deben estar etiquetados
-
[EC2.48] Los registros de VPC flujo de Amazon deben estar etiquetados
-
[EC2.49] VPC Las conexiones entre pares de Amazon deben estar etiquetadas
-
EC2VPNLas pasarelas de enlace [EC2.50] deben estar etiquetadas
-
[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas
-
[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas
-
[ECR.3] ECR Los repositorios deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[ECS.3] las definiciones de ECS tareas no deben compartir el espacio de nombres de procesos del host
-
[ECS.4] los ECS contenedores deberían ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro
-
[ECS.15] las definiciones de ECS tareas deben estar etiquetadas
-
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
-
[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz
-
[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario
-
[EKS.1] Los puntos finales de los EKS clústeres no deben ser de acceso público
-
[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes
-
[EKS.7] Las configuraciones de los proveedores de EKS identidad deben estar etiquetadas
-
[EKS.8] EKS los clústeres deben tener habilitado el registro de auditoría
-
[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad
-
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de EMR bloqueo de acceso público de Amazon debe estar habilitada
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Pegamento.3] AWS Glue Las transformaciones de aprendizaje automático deben cifrarse en reposo
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.7] La monitorización del GuardDuty EKS tiempo de ejecución debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada
-
[IAM.6] El hardware MFA debe estar habilitado para el usuario root
-
[IAM.23] Los analizadores de IAM Access Analyzer deben estar etiquetados
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[IAM.28] El analizador de IAM acceso externo Access Analyzer debe estar activado
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados
-
[IoT 2] AWS IoT Core las acciones de mitigación deben estar etiquetadas
-
[IoT 3] AWS IoT Core las dimensiones deben estar etiquetadas
-
[IoT. 4] AWS IoT Core los autorizadores deben estar etiquetados
-
[IoT 5] AWS IoT Core los alias de los roles deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.2] Las transmisiones de Kinesis deben estar etiquetadas
-
[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[MQ.4] Los corredores de Amazon MQ deberían estar etiquetados
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] MSK los clústeres deben tener configurada una supervisión mejorada
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados
-
[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
[PCA.1] AWS Private CA la autoridad emisora de certificados raíz debe estar deshabilitada
-
La IAM autenticación [RDS.12] debe configurarse para RDS los clústeres
-
[RDS.13] Las actualizaciones RDS automáticas de las versiones secundarias deben estar habilitadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.15] Los clústeres de RDS bases de datos deben configurarse para varias zonas de disponibilidad
-
[RDS.26] Las RDS instancias de base de datos deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de RDS bases de datos deben cifrarse cuando están inactivos
-
[RDS.28] Los clústeres de RDS bases de datos deben etiquetarse
-
[RDS.29] Las instantáneas de los clústeres RDS de bases de datos deben estar etiquetadas
-
[RDS.30] Las RDS instancias de base de datos deben etiquetarse
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[RDS.32] Las instantáneas de bases de RDS datos deben estar etiquetadas
-
[RDS.33] Los grupos de subredes de RDS bases de datos deben etiquetarse
-
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC
-
Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.11] Los clústeres de Redshift deben estar etiquetados
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas
-
[Redshift.13] Las instantáneas del clúster de Redshift deben estar etiquetadas
-
[Redshift.14] Los grupos de subredes del clúster de Redshift deben estar etiquetados
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público
-
[S3.11] Los buckets de uso general de S3 deberían tener habilitadas las notificaciones de eventos
-
[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.14] Los buckets de uso general de S3 deberían tener habilitado el control de versiones
-
[S3.20] Los cubos de uso general de S3 deberían tener habilitada la función de eliminación MFA
-
[SageMaker.2] las instancias de SageMaker notebook deberían lanzarse de forma personalizada VPC
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SES.2] los conjuntos de SES configuración deben estar etiquetados
-
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
-
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
-
[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
[Transferencia.1] AWS Transfer Family los flujos de trabajo deben estar etiquetados
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.2] AWS WAF Las normas regionales clásicas deben tener al menos una condición
-
[WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4] AWS WAF La web regional clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF la web ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.12] AWS WAF las reglas deben tener las CloudWatch métricas habilitadas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
AWS GovCloud (EEUU-Oeste)
Los siguientes controles no se admiten en AWS GovCloud (EE. UU. y oeste).
-
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
-
[Cuenta. 2] Cuentas de AWS debe ser parte de un AWS Organizations organización
-
[APIGateway.3] REST API Las etapas de API Gateway deberían tener AWS X-Ray rastreo activado
-
[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL
-
[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync GraphQL no APIs debe autenticarse con claves API
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados
-
[Copia de seguridad.2] AWS Backup los puntos de recuperación deben estar etiquetados
-
[Copia de seguridad.3] AWS Backup las bóvedas deben estar etiquetadas
-
[Respaldo. 4] AWS Backup los planes de informes deben estar etiquetados
-
[Respaldo. 5] AWS Backup los planes de respaldo deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudWatch.15] CloudWatch las alarmas deben tener configuradas las acciones especificadas
-
[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registro AWS Config Duración
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] las suscripciones a DMS eventos deben estar etiquetadas
-
[DMS.4] las instancias de DMS replicación deben estar etiquetadas
-
[DMS.5] los grupos de subredes de DMS replicación deben estar etiquetados
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas
-
[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
-
[EC2.17] EC2 Las instancias de Amazon no deberían usar múltiples ENIs
-
[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] EBS los volúmenes deben estar cubiertos por un plan de respaldo
-
[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.36] Las pasarelas de EC2 clientes deben estar etiquetadas
-
[EC2.37] Las direcciones IP EC2 elásticas deben estar etiquetadas
-
[EC2.39] Las pasarelas EC2 de Internet deben estar etiquetadas
-
[EC2.43] los grupos EC2 de seguridad deben estar etiquetados
-
[EC2.47] Los servicios de Amazon VPC Endpoint Services deben estar etiquetados
-
[EC2.48] Los registros de VPC flujo de Amazon deben estar etiquetados
-
[EC2.49] VPC Las conexiones entre pares de Amazon deben estar etiquetadas
-
EC2VPNLas pasarelas de enlace [EC2.50] deben estar etiquetadas
-
[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas
-
[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas
-
[ECR.3] ECR Los repositorios deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios ECR públicos deben estar etiquetados
-
[ECS.3] las definiciones de ECS tareas no deben compartir el espacio de nombres de procesos del host
-
[ECS.4] los ECS contenedores deberían ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro
-
[ECS.15] las definiciones de ECS tareas deben estar etiquetadas
-
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
-
[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz
-
[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario
-
[EKS.1] Los puntos finales de los EKS clústeres no deben ser de acceso público
-
[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes
-
[EKS.7] Las configuraciones de los proveedores de EKS identidad deben estar etiquetadas
-
[EKS.8] EKS los clústeres deben tener habilitado el registro de auditoría
-
[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad
-
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de EMR bloqueo de acceso público de Amazon debe estar habilitada
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.7] La monitorización del GuardDuty EKS tiempo de ejecución debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada
-
[IAM.6] El hardware MFA debe estar habilitado para el usuario root
-
[IAM.23] Los analizadores de IAM Access Analyzer deben estar etiquetados
-
[IAM.28] El analizador de IAM acceso externo Access Analyzer debe estar activado
-
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
-
[IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados
-
[IoT 2] AWS IoT Core las acciones de mitigación deben estar etiquetadas
-
[IoT 3] AWS IoT Core las dimensiones deben estar etiquetadas
-
[IoT. 4] AWS IoT Core los autorizadores deben estar etiquetados
-
[IoT 5] AWS IoT Core los alias de los roles deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.2] Las transmisiones de Kinesis deben estar etiquetadas
-
[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[MQ.4] Los corredores de Amazon MQ deberían estar etiquetados
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] MSK los clústeres deben tener configurada una supervisión mejorada
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados
-
[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
[PCA.1] AWS Private CA la autoridad emisora de certificados raíz debe estar deshabilitada
-
La IAM autenticación [RDS.12] debe configurarse para RDS los clústeres
-
[RDS.13] Las actualizaciones RDS automáticas de las versiones secundarias deben estar habilitadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.15] Los clústeres de RDS bases de datos deben configurarse para varias zonas de disponibilidad
-
[RDS.26] Las RDS instancias de base de datos deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de RDS bases de datos deben cifrarse cuando están inactivos
-
[RDS.28] Los clústeres de RDS bases de datos deben etiquetarse
-
[RDS.29] Las instantáneas de los clústeres RDS de bases de datos deben estar etiquetadas
-
[RDS.30] Las RDS instancias de base de datos deben etiquetarse
-
[RDS.31] Los grupos de seguridad RDS de bases de datos deben etiquetarse
-
[RDS.32] Las instantáneas de bases de RDS datos deben estar etiquetadas
-
[RDS.33] Los grupos de subredes de RDS bases de datos deben etiquetarse
-
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC
-
Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.11] Los clústeres de Redshift deben estar etiquetados
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas
-
[Redshift.13] Las instantáneas del clúster de Redshift deben estar etiquetadas
-
[Redshift.14] Los grupos de subredes del clúster de Redshift deben estar etiquetados
-
[Route53.1] Los controles de estado de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público
-
[S3.11] Los buckets de uso general de S3 deberían tener habilitadas las notificaciones de eventos
-
[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.14] Los buckets de uso general de S3 deberían tener habilitado el control de versiones
-
[S3.20] Los cubos de uso general de S3 deberían tener habilitada la función de eliminación MFA
-
[SageMaker.2] las instancias de SageMaker notebook deberían lanzarse de forma personalizada VPC
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SES.2] los conjuntos de SES configuración deben estar etiquetados
-
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
-
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
-
[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
[Transferencia.1] AWS Transfer Family los flujos de trabajo deben estar etiquetados
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.2] AWS WAF Las normas regionales clásicas deben tener al menos una condición
-
[WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4] AWS WAF La web regional clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
-
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF la web ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.12] AWS WAF las reglas deben tener las CloudWatch métricas habilitadas