Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Referencia de controles para el CSPM de Security Hub
<a name="securityhub-controls-reference"></a>

Esta referencia de control proporciona una tabla de los controles CSPM de AWS Security Hub disponibles con enlaces a más información sobre cada control. En la tabla, los controles están organizados en orden alfabético según su ID de control. Aquí solo se incluyen los controles que el CSPM de Security Hub tiene en uso activo. Los controles retirados quedan excluidos de la tabla.

La tabla proporciona la siguiente información para cada control:
+ **ID de control de seguridad**: este ID se aplica a todos los estándares e indica el Servicio de AWS recurso al que se refiere el control. La consola CSPM de Security Hub muestra el control de seguridad IDs, independientemente de si los [hallazgos de control consolidados](controls-findings-create-update.md#consolidated-control-findings) están activados o desactivados en su cuenta. Sin embargo, las conclusiones del CSPM de Security Hub IDs solo hacen referencia al control de seguridad si las conclusiones del control consolidado están activadas en su cuenta. Si las conclusiones de control consolidadas están desactivadas en su cuenta, algunos controles IDs varían según el estándar en sus conclusiones de control. Para ver un mapeo entre el control específico de un estándar y el control IDs de seguridad IDs, consulte. [Cómo afecta la consolidación al control IDs y a los títulos](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)

  Si desea configurar las [automatizaciones](automations.md) de los controles de seguridad, le recomendamos que filtre en función del identificador del control y no del título o la descripción. Si bien Security Hub CSPM puede actualizar ocasionalmente los títulos o descripciones de los controles, el control sigue IDs siendo el mismo.

  El control IDs puede omitir números. Estos son marcadores de posición para futuros controles.
+ **Título de control de seguridad**: este título se aplica a todos los estándares. La consola del CSPM de Security Hub muestra los títulos de los controles de seguridad sin importar si la funcionalidad de resultados consolidados de controles está habilitada o desactivada en la cuenta. Sin embargo, los resultados del CSPM de Security Hub solo hacen referencia a los títulos de los controles de seguridad si la funcionalidad de resultados consolidados de controles está habilitada en la cuenta. Si los resultados de control consolidados están desactivados en su cuenta, algunos títulos de control varían según el estándar en los resultados de control. Para ver un mapeo del control específico del estándar IDs al control de seguridad IDs, consulte. [Cómo afecta la consolidación al control IDs y a los títulos](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
+ **Normas aplicables**: indica a qué normas se aplica un control. Seleccione un control para revisar los requisitos específicos de los marcos de cumplimiento de terceros.
+ **Gravedad**: la gravedad de un control identifica su importancia desde el punto de vista de la seguridad. Para obtener información sobre cómo el CSPM de Security Hub determina la gravedad del control, consulte [Niveles de gravedad correspondientes a los resultados de control](controls-findings-create-update.md#control-findings-severity).
+ **Admite parámetros personalizados**: indica si el control admite valores personalizados para uno o varios parámetros. Seleccione un control para revisar los detalles de los parámetros. Para obtener más información, consulte [Comprensión de los parámetros de control en el CSPM de Security Hub](custom-control-parameters.md).
+ **Tipo de programa**: indica cuándo se evalúa el control. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

Seleccione un control para revisar información adicional. Los controles están organizados en orden alfabético según el ID del control de seguridad.


| ID de control de seguridad | Título de control de seguridad | Estándares aplicables | Gravedad | Admite parámetros personalizados | Tipo de programación | 
| --- | --- | --- | --- | --- | --- | 
| [Account.1](account-controls.md#account-1)  | La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5  | MEDIO  | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  | Periódico  | 
|  [Account.2](account-controls.md#account-2)  |  Cuenta de AWS debe AWS Organizations ser parte de una organización  |  NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ACM.1](acm-controls.md#acm-1)  |  Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se desencadena y es periódico  | 
|  [ACM.2](acm-controls.md#acm-2)  |  Los certificados RSA administrados por ACM deben usar una longitud de clave de al menos 2048 bits  | AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ACM.3](acm-controls.md#acm-3)  | Los certificados ACM deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Amplify.1](amplify-controls.md#amplify-1)  | Las aplicaciones de Amplify deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Amplify.2](amplify-controls.md#amplify-2)  | Las ramificaciones de Amplify deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [APIGateway1](apigateway-controls.md#apigateway-1).  |  El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [APIGateway2.](apigateway-controls.md#apigateway-2)  |  Las etapas de la API de REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [APIGateway3.](apigateway-controls.md#apigateway-3)  |  Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [APIGateway4.](apigateway-controls.md#apigateway-4)  |  La API de Gateway debe estar asociada a una ACL web de WAF  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [APIGateway5.](apigateway-controls.md#apigateway-5)  |  Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [APIGateway8.](apigateway-controls.md#apigateway-8)  |  Las rutas de API Gateway deben especificar un tipo de autorización  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [APIGateway9.](apigateway-controls.md#apigateway-9)  |  El registro de acceso debe configurarse para las etapas V2 de API Gateway  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [APIGateway1.10](apigateway-controls.md#apigateway-10)  |  Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [AppConfig1](appconfig-controls.md#appconfig-1).  | AWS AppConfig las aplicaciones deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppConfig2.](appconfig-controls.md#appconfig-2)  | AWS AppConfig los perfiles de configuración deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppConfig3.](appconfig-controls.md#appconfig-3)  | AWS AppConfig los entornos deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppConfig4.](appconfig-controls.md#appconfig-4)  | AWS AppConfig las asociaciones de extensiones deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppFlow1](appflow-controls.md#appflow-1).  |  AppFlow Los flujos de Amazon deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppRunner1](apprunner-controls.md#apprunner-1).  | Los servicios de App Runner deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppRunner2.](apprunner-controls.md#apprunner-2)  | Los conectores de VPC de App Runner deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppSync2.](appsync-controls.md#appsync-2)  |  AWS AppSync debe tener habilitado el registro a nivel de campo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [AppSync4.](appsync-controls.md#appsync-4)  | AWS AppSync GraphQL APIs debe estar etiquetado | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [AppSync5.](appsync-controls.md#appsync-5)  |  AWS AppSync GraphQL no APIs debe autenticarse con claves de API  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Athena.2](athena-controls.md#athena-2)  | Los catálogos de datos de Athena deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Athena.3](athena-controls.md#athena-3)  | Los grupos de trabajo de Athena deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Athena.4](athena-controls.md#athena-4)  | Los grupos de trabajo de Athena deben tener el registro habilitado | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [AutoScaling1](autoscaling-controls.md#autoscaling-1).  | Los grupos de escalado automático asociados con un equilibrador de carga deben usar comprobaciones de estado de ELB | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [AutoScaling2.](autoscaling-controls.md#autoscaling-2)  |  El grupo de Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [AutoScaling3.](autoscaling-controls.md#autoscaling-3)  |  Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar las instancias EC2 para que requieran la versión 2 del servicio de metadatos de instancias () IMDSv2  |  AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Autoscaling.5](autoscaling-controls.md#autoscaling-5)  |  Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupo de escalado automático no deben tener direcciones IP públicas  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [AutoScaling6.](autoscaling-controls.md#autoscaling-6)  |  Los grupos de escalado automático deben usar varios tipos de instancias en varias zonas de disponibilidad  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [AutoScaling9.](autoscaling-controls.md#autoscaling-9)  |  Los grupos de escalado automático de EC2 deberían usar plantillas de lanzamiento de EC2  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [AutoScaling1.0](autoscaling-controls.md#autoscaling-10)  | Los grupos de escalado automático de EC2 deberían estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Backup.1](backup-controls.md#backup-1)  |  AWS Backup Los puntos de recuperación deben estar cifrados en reposo  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Backup.2](backup-controls.md#backup-2)  | AWS Backup los puntos de recuperación deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Backup.3](backup-controls.md#backup-3)  | AWS Backup Las bóvedas deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Backup.4](backup-controls.md#backup-4)  | AWS Backup los planes de informes deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Backup.5](backup-controls.md#backup-5)  | AWS Backup los planes de respaldo deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Lote.1](batch-controls.md#batch-1)  | Las colas de trabajos de Batch deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Lote.2](batch-controls.md#batch-2)  | Las políticas de programación de Batch deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Lote 3](batch-controls.md#batch-3)  | Los entornos de computación de Batch deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Lote 4](batch-controls.md#batch-4)  | Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas. | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [CloudFormation2.](cloudformation-controls.md#cloudformation-2)  | CloudFormation las pilas deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [CloudFormation3.](cloudformation-controls.md#cloudformation-3)  | CloudFormation las pilas deben tener habilitada la protección de terminación | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CloudFormation4.](cloudformation-controls.md#cloudformation-4)  | CloudFormation las pilas deben tener funciones de servicio asociadas | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CloudFront1](cloudfront-controls.md#cloudfront-1).  | CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CloudFront3.](cloudfront-controls.md#cloudfront-3)  |  CloudFront las distribuciones deberían requerir el cifrado en tránsito  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront4.](cloudfront-controls.md#cloudfront-4)  |  CloudFront las distribuciones deben tener configurada la conmutación por error de origen  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront5.](cloudfront-controls.md#cloudfront-5)  |  CloudFront las distribuciones deberían tener el registro habilitado  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront6.](cloudfront-controls.md#cloudfront-6)  |  CloudFront las distribuciones deben tener WAF habilitado  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront7.](cloudfront-controls.md#cloudfront-7)  |  CloudFront las distribuciones deben usar certificados personalizados SSL/TLS  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  | BAJA |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront8.](cloudfront-controls.md#cloudfront-8)  |  CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront9.](cloudfront-controls.md#cloudfront-9)  |  CloudFront las distribuciones deben cifrar el tráfico hacia orígenes personalizados  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront1.10](cloudfront-controls.md#cloudfront-10)  |  CloudFront las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados  |  AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront1.2](cloudfront-controls.md#cloudfront-12)  |  CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudFront1.3](cloudfront-controls.md#cloudfront-13)  |  CloudFront las distribuciones deben usar el control de acceso al origen  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CloudFront1.4](cloudfront-controls.md#cloudfront-14)  | CloudFront las distribuciones deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [CloudFront1.5](cloudfront-controls.md#cloudfront-15)  | CloudFront las distribuciones deben usar la política de seguridad TLS recomendada | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CloudFront1.6](cloudfront-controls.md#cloudfront-16)  | CloudFront las distribuciones deben usar el control de acceso de origen para los orígenes de URL de la función Lambda | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CloudFront1.7](cloudfront-controls.md#cloudfront-17)  | CloudFront las distribuciones deben usar grupos de claves confiables para los firmados URLs y las cookies | AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CloudTrail1](cloudtrail-controls.md#cloudtrail-1).  | CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [CloudTrail2.](cloudtrail-controls.md#cloudtrail-2)  |  CloudTrail debe tener habilitada la encriptación en reposo  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudTrail3.](cloudtrail-controls.md#cloudtrail-3)  | Debe estar habilitado al menos un CloudTrail sendero | NIST SP 800-171 Rev. 2; PCI DSS v4.0.1; PCI DSS v3.2.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [CloudTrail4.](cloudtrail-controls.md#cloudtrail-4)  |  CloudTrail La validación del archivo de registro debe estar habilitada  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudTrail.5](cloudtrail-controls.md#cloudtrail-5)  |  CloudTrail los senderos deben estar integrados con Amazon CloudWatch Logs  | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudTrail6.](cloudtrail-controls.md#cloudtrail-6)  |  Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público  |  CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se desencadena y es periódico  | 
|  [CloudTrail7.](cloudtrail-controls.md#cloudtrail-7)  |  Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudTrail9.](cloudtrail-controls.md#cloudtrail-9)  | CloudTrail los senderos deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [CloudTrail.10](cloudtrail-controls.md#cloudtrail-10)  | CloudTrail Los almacenes de datos de eventos de Lake deben estar cifrados y gestionados por el cliente AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [CloudWatch1](cloudwatch-controls.md#cloudwatch-1).  |  Debe existir un filtro de métrica de registro y una alarma para el uso del usuario raíz  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2, PCI DSS v3.2.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch2.](cloudwatch-controls.md#cloudwatch-2)  |  Asegurar que haya un filtro de métricas de registro y alarma para las llamadas a la API no autorizadas  | Índice de referencia CIS AWS Foundations v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch3.](cloudwatch-controls.md#cloudwatch-3)  |  Garantizar que haya un filtro de métricas de registro y una alarma de registro para el inicio de sesión en la sin MFA en la consola de administración  | Punto de referencia sobre AWS los fundamentos de la CEI v1.2.0  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch4.](cloudwatch-controls.md#cloudwatch-4)  |  Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de IAM  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch5.](cloudwatch-controls.md#cloudwatch-5)  |  Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios CloudTrail de configuración  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch6.](cloudwatch-controls.md#cloudwatch-6)  |  Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch7.](cloudwatch-controls.md#cloudwatch-7)  |  Asegúrese de que existan un registro, un filtro métrico y una alarma para deshabilitar o eliminar de forma programada los datos creados por el cliente CMKs  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch8.](cloudwatch-controls.md#cloudwatch-8)  |  Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de bucket de S3  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch9.](cloudwatch-controls.md#cloudwatch-9)  |  Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios AWS Config de configuración  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch1.10](cloudwatch-controls.md#cloudwatch-10)  |  Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de grupos de seguridad  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch1.1](cloudwatch-controls.md#cloudwatch-11)  |  Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en las listas de control de acceso a la red (NACL)  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch1.2](cloudwatch-controls.md#cloudwatch-12)  |  Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las puertas de enlace de la red  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch1.3](cloudwatch-controls.md#cloudwatch-13)  |  Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la tabla de enrutamiento  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch1.4](cloudwatch-controls.md#cloudwatch-14)  |  Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la VPC  | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [CloudWatch1.5](cloudwatch-controls.md#cloudwatch-15)  |  CloudWatch las alarmas deben tener configuradas las acciones especificadas  | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 |  ALTO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [CloudWatch1.6](cloudwatch-controls.md#cloudwatch-16)  |  CloudWatch Los grupos de registros deben conservarse durante un período de tiempo específico  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [CloudWatch.17](cloudwatch-controls.md#cloudwatch-17)  |  CloudWatch las acciones de alarma deben estar habilitadas  |  NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CodeArtifact1](codeartifact-controls.md#codeartifact-1).  | CodeArtifact los repositorios deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [CodeBuild1](codebuild-controls.md#codebuild-1).  | CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CodeBuild2.](codebuild-controls.md#codebuild-2)  |  CodeBuild las variables de entorno del proyecto no deben contener credenciales de texto claro  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CodeBuild3.](codebuild-controls.md#codebuild-3)  |  CodeBuild Los registros de S3 deben estar cifrados  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CodeBuild4.](codebuild-controls.md#codebuild-4)  |  CodeBuild los entornos del proyecto deben tener una configuración de registro  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [CodeBuild7.](codebuild-controls.md#codebuild-7)  | CodeBuild las exportaciones de los grupos de informes deben estar cifradas en reposo | AWS Mejores prácticas de seguridad fundamentales | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [CodeGuruProfiler1](codeguruprofiler-controls.md#codeguruprofiler-1).  | CodeGuru Los grupos de creación de perfiles de Profiler deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [CodeGuruReviewer1](codegurureviewer-controls.md#codegurureviewer-1).  | CodeGuru Las asociaciones de repositorios de Reviewer deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Cognito.1](cognito-controls.md#cognito-1)  | Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación de funciones completo para la autenticación estándar | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Cognito.2](cognito-controls.md#cognito-2)  | Los grupos de identidades de Cognito no deben permitir identidades sin autenticar | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Cognito.3](cognito-controls.md#cognito-3)  | Las políticas de contraseñas para grupos de usuarios de Cognito deben tener configuraciones seguras | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Cognito.4](cognito-controls.md#cognito-4)  | Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Cognito.5](cognito-controls.md#cognito-5)  | La MFA debe estar habilitada para los grupos de usuarios de Cognito | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Cognito.6](cognito-controls.md#cognito-6)  | Los grupos de usuarios de Cognito deberían tener habilitada la protección contra la eliminación | AWS Mejores prácticas de seguridad fundamentales | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Config.1](config-controls.md#config-1)  | AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 | CRÍTICO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [Connect.1](connect-controls.md#connect-1)  | Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Connect.2](connect-controls.md#connect-2)  | Las instancias de Amazon Connect deben tener el CloudWatch registro activado | AWS Mejores prácticas de seguridad fundamentales | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [DataFirehose1](datafirehose-controls.md#datafirehose-1).  | Los flujos de entrega de Firehose deben estar cifrados en reposo | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [DataSync1](datasync-controls.md#datasync-1).  | DataSync las tareas deben tener el registro activado | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [DataSync2.](datasync-controls.md#datasync-2)  | DataSync las tareas deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Detective.1](detective-controls.md#detective-1)  | Los gráficos de comportamiento de Detective deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [DMS.1](dms-controls.md#dms-1)  |  Las instancias de replicación de Servicio de migración de bases de datos no deben ser públicas  | AWS Mejores prácticas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [DMS.2](dms-controls.md#dms-2)  | Los certificados DMS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [DMS.3](dms-controls.md#dms-3)  | Las suscripciones a eventos de DMS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [DMS.4](dms-controls.md#dms-4)  | Las instancias de replicación de DMS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [DMS.5](dms-controls.md#dms-5)  | Los grupos de subredes de replicación del DMS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [DMS.6](dms-controls.md#dms-6)  |  Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DMS.7](dms-controls.md#dms-7)  |  Las tareas de replicación del DMS para la base de datos de destino deben tener el registro habilitado  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DMS.8](dms-controls.md#dms-8)  |  Las tareas de replicación del DMS para la base de datos de origen deben tener el registro habilitado  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DMS.9](dms-controls.md#dms-9)  |  Los puntos finales del DMS deben usar SSL  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DMS.10](dms-controls.md#dms-10)  | Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [DMS.11](dms-controls.md#dms-11)  | Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [DMS.12](dms-controls.md#dms-12)  | Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [DMS.13](dms-controls.md#dms-13)  | Las instancias de replicación de DMS se deben configurar para utilizar varias zonas de disponibilidad | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [DocumentDB.1](documentdb-controls.md#documentdb-1)  |  Los clústeres de Amazon DocumentDB deben estar cifrados en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DocumentDB.2](documentdb-controls.md#documentdb-2)  |  Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [DocumentDB.3](documentdb-controls.md#documentdb-3)  |  Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DocumentDB.4](documentdb-controls.md#documentdb-4)  |  Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DocumentDB.5](documentdb-controls.md#documentdb-5)  |  Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Documento DB.6](documentdb-controls.md#documentdb-6)  | Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [DynamoDB.1](dynamodb-controls.md#dynamodb-1)  |  Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [DynamoDB.2](dynamodb-controls.md#dynamodb-2)  |  Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DynamoDB.3](dynamodb-controls.md#dynamodb-3)  |  Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [DynamoDB.4](dynamodb-controls.md#dynamodb-4)  |  Las tablas de DynamoDB deben estar presentes en un plan de copia de seguridad  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [DynamoDB.5](dynamodb-controls.md#dynamodb-5)  | Las tablas de DynamoDB deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [DynamoDB.6](dynamodb-controls.md#dynamodb-6)  |  Las tablas de DynamoDB deben tener la protección contra eliminación habilitada  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [DynamoDB.7](dynamodb-controls.md#dynamodb-7)  | Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EC2.1](ec2-controls.md#ec2-1)  |  Las instantáneas de EBS no se deben poder restaurar públicamente  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [EC2.2](ec2-controls.md#ec2-2)  |  Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, AWS PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.3](ec2-controls.md#ec2-3)  |  Los volúmenes de EBS asociados deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.4](ec2-controls.md#ec2-4)  |  Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [EC2.6](ec2-controls.md#ec2-6)  |  El registro de flujo de VPC debe estar habilitado en todos VPCs  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [EC2.7](ec2-controls.md#ec2-7)  |  El cifrado predeterminado EBS debe estar habilitado  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [EC2.8](ec2-controls.md#ec2-8)  |  Las instancias EC2 deben usar IMDSv2 la versión 2 del servicio de metadatos de instancias ()  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.9](ec2-controls.md#ec2-9)  |  Las instancias IPv4 EC2 no deben tener una dirección pública  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.10](ec2-controls.md#ec2-10)  |  Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2  |  AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [EC2.12](ec2-controls.md#ec2-12)  |  EIPs Debe quitarse el EC2 no utilizado  |  PCI DSS v3.2.1, NIST SP 800-53 rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.13](ec2-controls.md#ec2-13)  | Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22 | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se desencadena y es periódico | 
|  [EC2.14](ec2-controls.md#ec2-14)  | Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389 | Índice de referencia CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se desencadena y es periódico | 
|  [EC2.15](ec2-controls.md#ec2-15)  |  Las subredes de EC2 no deberían asignar automáticamente direcciones IP públicas  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.16](ec2-controls.md#ec2-16)  |  Deben eliminarse las listas de control de acceso a la red no utilizadas  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1, |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.17](ec2-controls.md#ec2-17)  |  Las instancias EC2 no deben usar varias ENIs  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.18](ec2-controls.md#ec2-18)  |  Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados  |  AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  ALTO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [EC2.19](ec2-controls.md#ec2-19)  | Los grupos de seguridad no deben permitir el acceso irrestricto a los puertos de alto riesgo | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se desencadena y es periódico | 
|  [EC2.20](ec2-controls.md#ec2-20)  |  Los dos túneles VPN de una conexión VPN deben estar activos AWS Site-to-Site  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.21](ec2-controls.md#ec2-21)  |  La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.22](ec2-controls.md#ec2-22)  | Los grupos de seguridad de EC2 que no se utilicen deben eliminarse |   | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EC2.23](ec2-controls.md#ec2-23)  |  Las pasarelas de tránsito de EC2 no deberían aceptar automáticamente las solicitudes de adjuntos de VPC  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.24](ec2-controls.md#ec2-24)  |  No se deben utilizar los tipos de instancias paravirtuales EC2  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.25](ec2-controls.md#ec2-25)  |  Las plantillas de lanzamiento de EC2 no deben asignar interfaces públicas a las de red IPs  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.28](ec2-controls.md#ec2-28)  |  Los volúmenes de EBS tienen que ser parte de un plan de copia de seguridad  |  NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [EC2.33](ec2-controls.md#ec2-33)  | La conexión de puerta de enlace de tránsito de EC2 debe estar etiquetada | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.34](ec2-controls.md#ec2-34)  | Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.35](ec2-controls.md#ec2-35)  | Las interfaces de red de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.36](ec2-controls.md#ec2-36)  | Las puertas de enlace de cliente de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.37](ec2-controls.md#ec2-37)  | Las direcciones IP elásticas de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.38](ec2-controls.md#ec2-38)  | Las instancias de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.39](ec2-controls.md#ec2-39)  | Las puertas de enlace de Internet de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.40](ec2-controls.md#ec2-40)  | Las puertas de enlace de NAT de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.41](ec2-controls.md#ec2-41)  | La red EC2 ACLs debe estar etiquetada | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.42](ec2-controls.md#ec2-42)  | Las tablas de enrutamiento de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.43](ec2-controls.md#ec2-43)  | Los grupos de seguridad de EC2 deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.44](ec2-controls.md#ec2-44)  | Las subredes de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.45](ec2-controls.md#ec2-45)  | Los volúmenes de EC2 deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.46](ec2-controls.md#ec2-46)  | Amazon VPCs debería estar etiquetado | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.47](ec2-controls.md#ec2-47)  | Los servicios de puntos de conexión de Amazon VPC deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.48](ec2-controls.md#ec2-48)  | Los registros de flujo de Amazon VPC deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.49](ec2-controls.md#ec2-49)  | Las conexiones de emparejamiento de Amazon VPC deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.50](ec2-controls.md#ec2-50)  | Las puertas de enlace de VPN de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.51](ec2-controls.md#ec2-51)  |  Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EC2.52](ec2-controls.md#ec2-52)  | Las puertas de enlace de tránsito de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.53](ec2-controls.md#ec2-53)  | Los grupos de seguridad de EC2 no deberían permitir la entrada desde 0.0.0.0/0 a los puertos de administración de servidores remotos | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EC2.54](ec2-controls.md#ec2-54)  | Los grupos de seguridad de EC2 no deberían permitir la entrada desde ::/0 a los puertos de administración de servidores remotos | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS  | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EC2.55](ec2-controls.md#ec2-55)  | VPCs debe configurarse con un punto final de interfaz para la API ECR | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [EC2.56](ec2-controls.md#ec2-56)  | VPCs debe configurarse con un punto final de interfaz para Docker Registry | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [EC2.57](ec2-controls.md#ec2-57)  | VPCs debe configurarse con un punto final de interfaz para Systems Manager | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [EC2.58](ec2-controls.md#ec2-58)  | VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [EC2.60](ec2-controls.md#ec2-60)  | VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [EC2.170](ec2-controls.md#ec2-170)  | Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del servicio de metadatos de instancias () IMDSv2 | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EC2.171](ec2-controls.md#ec2-171)  | Las conexiones VPN de EC2 deben tener el registro habilitado | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EC2.172](ec2-controls.md#ec2-172)  | La configuración de bloqueo de acceso público de VPC para EC2 debe bloquear el tráfico de puerta de enlace de Internet | AWS Mejores prácticas de seguridad fundamentales | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.173](ec2-controls.md#ec2-173)  | Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EC2.174](ec2-controls.md#ec2-174)  | Los conjuntos de opciones DHCP de EC2 deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.175](ec2-controls.md#ec2-175)  | Las plantillas de lanzamiento de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.176](ec2-controls.md#ec2-176)  | Las listas de prefijos de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.177](ec2-controls.md#ec2-177)  | Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.178](ec2-controls.md#ec2-178)  | Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.179](ec2-controls.md#ec2-179)  | Los destinos de duplicación de tráfico de EC2 deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EC2.180](ec2-controls.md#ec2-180)  | Las interfaces de red EC2 deberían tener source/destination habilitada la comprobación | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EC2.181](ec2-controls.md#ec2-181)  | Las plantillas de lanzamiento de EC2 deben permitir el cifrado para los volúmenes de EBS asociados | AWS Mejores prácticas fundamentales de seguridad v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EC2.182](ec2-controls.md#ec2-182)  | Las instantáneas de EBS no deben ser de acceso público | AWS Mejores prácticas fundamentales de seguridad | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ECR.1](ecr-controls.md#ecr-1)  |  Los repositorios privados de ECR deben tener configurado el escaneo de imágenes  | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ECR.2](ecr-controls.md#ecr-2)  |  Los repositorios privados de ECR deben tener configurada la inmutabilidad de las etiquetas  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECR.3](ecr-controls.md#ecr-3)  |  Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECR.4](ecr-controls.md#ecr-4)  | Los repositorios públicos de ECR deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [ECR.5](ecr-controls.md#ecr-5)  | Los repositorios de ECR se deben cifrar con AWS KMS keys administradas por el cliente | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [ECS.2](ecs-controls.md#ecs-2)  |  Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.3](ecs-controls.md#ecs-3)  |  Las definiciones de tareas de ECS no deben compartir el espacio de nombres del proceso del host  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.4](ecs-controls.md#ecs-4)  |  Los contenedores ECS deben ejecutarse sin privilegios  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.5](ecs-controls.md#ecs-5)  |  Los contenedores ECS deben estar limitados a un acceso de solo lectura a los sistemas de archivos raíz  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.8](ecs-controls.md#ecs-8)  |  Los secretos no deben pasarse como variables de entorno del contenedor  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.9](ecs-controls.md#ecs-9)  |  Las definiciones de tareas de ECS deben tener una configuración de registro  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.10](ecs-controls.md#ecs-10)  |  Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.12](ecs-controls.md#ecs-12)  |  Los clústeres de ECS deben usar Container Insights  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ECS.13](ecs-controls.md#ecs-13)  | Los servicios de ECS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [ECS.14](ecs-controls.md#ecs-14)  | Los clústeres de ECS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [ECS.15](ecs-controls.md#ecs-15)  | Las definiciones de tareas de ECS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [ECS.16](ecs-controls.md#ecs-16)  | Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ECS.17](ecs-controls.md#ecs-17)  | Las definiciones de tareas de ECS no deben utilizar el modo de red de host | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ECS.18](ecs-controls.md#ecs-18)  | Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ECS.19](ecs-controls.md#ecs-19)  | Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ECS.20](ecs-controls.md#ecs-20)  | Las definiciones de tareas de ECS deberían configurar a los usuarios no root en las definiciones de contenedores de Linux | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ECS.21](ecs-controls.md#ecs-21)  | Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EFS.1](efs-controls.md#efs-1)  |  El sistema de archivos Elastic debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [EFS.2](efs-controls.md#efs-2)  |  Los volúmenes de Amazon EFS deben estar en los planes de copia de seguridad  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [EFS.3](efs-controls.md#efs-3)  |  Los puntos de acceso EFS deben aplicar un directorio raíz  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EFS.4](efs-controls.md#efs-4)  |  Los puntos de acceso EFS deben imponer una identidad de usuario  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EFS.5](efs-controls.md#efs-5)  | Los puntos de acceso de EFS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EFS.6](efs-controls.md#efs-6)  | Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EFS.7](efs-controls.md#efs-7)  | Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EFS.8](efs-controls.md#efs-8)  | Los sistemas de archivos de EFS deben cifrarse en reposo | CIS AWS Foundations Benchmark v5.0.0, prácticas recomendadas de seguridad AWS fundamentales | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EKS.1](eks-controls.md#eks-1)  |  Los puntos de conexión del clúster EKS no deben ser de acceso público  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [EKS.2](eks-controls.md#eks-2)  |  Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EKS.3](eks-controls.md#eks-3)  | Los clústeres de EKS deben usar secretos de Kubernetes cifrados | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EKS.6](eks-controls.md#eks-6)  | Los clústeres de EKS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EKS.7](eks-controls.md#eks-7)  | Las configuraciones de los proveedores de identidad de EKS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EKS.8](eks-controls.md#eks-8)  |  Los clústeres de EKS deben tener habilitado el registro de auditoría  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ElastiCache1](elasticache-controls.md#elasticache-1).  | ElastiCache Los clústeres (Redis OSS) deben tener habilitadas las copias de seguridad automáticas | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | ALTO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [ElastiCache2.](elasticache-controls.md#elasticache-2)  |  ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ElastiCache3.](elasticache-controls.md#elasticache-3)  | ElastiCache los grupos de replicación deberían tener habilitada la conmutación por error automática  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ElastiCache4.](elasticache-controls.md#elasticache-4)  | ElastiCache los grupos de replicación deberían ser encrypted-at-rest |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ElastiCache5.](elasticache-controls.md#elasticache-5)  | ElastiCache los grupos de replicación deberían ser encrypted-in-transit | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ElastiCache6.](elasticache-controls.md#elasticache-6)  |  ElastiCache (Redis OSS) los grupos de replicación de versiones anteriores deberían tener habilitada la autenticación de Redis OSS  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ElastiCache7.](elasticache-controls.md#elasticache-7)  | ElastiCache los clústeres no deben usar el grupo de subredes predeterminado |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ElasticBeanstalk1](elasticbeanstalk-controls.md#elasticbeanstalk-1).  |  Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ElasticBeanstalk2.](elasticbeanstalk-controls.md#elasticbeanstalk-2)  |  Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [ElasticBeanstalk3.](elasticbeanstalk-controls.md#elasticbeanstalk-3)  |  Elastic Beanstalk debe transmitir los registros a CloudWatch  | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 |  ALTO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [ELB.1](elb-controls.md#elb-1)  |  El Equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ELB.2](elb-controls.md#elb-2)  |  Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.3](elb-controls.md#elb-3)  |  Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.4](elb-controls.md#elb-4)  |  Equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.5](elb-controls.md#elb-5)  |  El registro de aplicaciones y de los equilibradores de carga clásicos debe estar habilitado  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.6](elb-controls.md#elb-6)  | La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ELB.7](elb-controls.md#elb-7)  |  Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  | BAJA |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.8](elb-controls.md#elb-8)  |  Los equilibradores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una configuración sólida  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.9](elb-controls.md#elb-9)  |  Los equilibradores de carga clásicos deben tener habilitado el equilibrador de carga entre zonas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.10](elb-controls.md#elb-10)  |  Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [ELB.12](elb-controls.md#elb-12)  |  Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto.  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.13](elb-controls.md#elb-13)  |  Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [ELB.14](elb-controls.md#elb-14)  |  Equilibrador de carga clásico debe configurarse con el modo defensivo o con el modo de mitigación de desincronización más estricto.  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.16](elb-controls.md#elb-16)  |  Los balanceadores de carga de aplicaciones deben estar asociados a una ACL web WAF AWS  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.17](elb-controls.md#elb-17)  | Los equilibradores de carga de red y de aplicaciones con oyentes deben usar las políticas de seguridad recomendadas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.18](elb-controls.md#elb-18)  | Los oyentes de equilibradores de carga de aplicación y de red deben utilizar protocolos seguros para cifrar los datos en tránsito | AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ELB.21](elb-controls.md#elb-21)  |  Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ELB.22](elb-controls.md#elb-22)  |  Los grupos objetivo del ELB deben utilizar protocolos de transporte cifrados  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EMR.1](emr-controls.md#emr-1)  | Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EMR.2](emr-controls.md#emr-2)  | La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [EMR.3](emr-controls.md#emr-3)  | Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [EMR.4](emr-controls.md#emr-4)  | Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ES.1](es-controls.md#es-1)  |  Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ES.2](es-controls.md#es-2)  |  Los dominios de Elasticsearch no deben ser de acceso público  | AWS Prácticas recomendadas de seguridad fundamentales, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [ES.3](es-controls.md#es-3)  |  Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ES.4](es-controls.md#es-4)  |  Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ES.5](es-controls.md#es-5)  |  Los dominios de Elasticsearch deben tener habilitado el registro de auditoría  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ES.6](es-controls.md#es-6)  |  Los dominios de Elasticsearch deben tener al menos tres nodos de datos  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ES.7](es-controls.md#es-7)  |  Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [ES.8](es-controls.md#es-8)  | Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [ES.9](es-controls.md#es-9)  | Los dominios de Elasticsearch deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EventBridge2.](eventbridge-controls.md#eventbridge-2)  | EventBridge los autobuses del evento deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [EventBridge3.](eventbridge-controls.md#eventbridge-3)  |  EventBridge los autobuses personalizados para eventos deberían tener adjunta una política basada en los recursos  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [EventBridge4.](eventbridge-controls.md#eventbridge-4)  |  EventBridge los puntos finales globales deberían tener habilitada la replicación de eventos  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [FraudDetector1](frauddetector-controls.md#frauddetector-1).  | Los tipos de entidad de Amazon Fraud Detector deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [FraudDetector2.](frauddetector-controls.md#frauddetector-2)  | Las etiquetas de Amazon Fraud Detector deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [FraudDetector3.](frauddetector-controls.md#frauddetector-3)  | Las salidas de Amazon Fraud Detector deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [FraudDetector4.](frauddetector-controls.md#frauddetector-4)  | Las variables de Amazon Fraud Detector deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [FSx1](fsx-controls.md#fsx-1).  |  FSx para los sistemas de archivos OpenZFS, debe configurarse para copiar etiquetas en copias de seguridad y volúmenes  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  | Periódico | 
|  [FSx2.](fsx-controls.md#fsx-2)  | FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [FSx3.](fsx-controls.md#fsx-3)  | FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples | AWS Mejores prácticas de seguridad fundamentales | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [FSx4.](fsx-controls.md#fsx-4)  | FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [FSx5.](fsx-controls.md#fsx-5)  | FSx para los sistemas de archivos del servidor de archivos de Windows, debe configurarse para la implementación en zonas de disponibilidad múltiples | AWS Prácticas recomendadas de seguridad fundamentales | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Glue.1](glue-controls.md#glue-1)  | AWS Glue los trabajos deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Glue.3](glue-controls.md#glue-3)  | AWS Glue Las transformaciones de aprendizaje automático deben cifrarse en reposo | AWS Mejores prácticas de seguridad fundamentales | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Pegamento.4](glue-controls.md#glue-4)  | AWS Glue Los trabajos de Spark deberían ejecutarse en versiones compatibles de AWS Glue | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [GlobalAccelerator1](globalaccelerator-controls.md#globalaccelerator-1).  | Los aceleradores de Global Accelerator deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [GuardDuty1](guardduty-controls.md#guardduty-1).  |  GuardDuty debe estar activado  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [GuardDuty2.](guardduty-controls.md#guardduty-2)  | GuardDuty los filtros deben estar etiquetados  | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [GuardDuty3.](guardduty-controls.md#guardduty-3)  | GuardDuty IPSets debe estar etiquetado  | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [GuardDuty4.](guardduty-controls.md#guardduty-4)  | GuardDuty los detectores deben estar etiquetados  | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [GuardDuty5.](guardduty-controls.md#guardduty-5)  | GuardDuty La supervisión del registro de auditoría de EKS debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty6.](guardduty-controls.md#guardduty-6)  | GuardDuty La protección Lambda debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty7.](guardduty-controls.md#guardduty-7)  | GuardDuty La monitorización del tiempo de ejecución de EKS debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty8.](guardduty-controls.md#guardduty-8)  | GuardDuty La protección contra malware para EC2 debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty9.](guardduty-controls.md#guardduty-9)  | GuardDuty La protección RDS debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty.10](guardduty-controls.md#guardduty-10)  | GuardDuty La protección S3 debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty1.1](guardduty-controls.md#guardduty-11)  | GuardDuty La supervisión del tiempo de ejecución debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty1.2](guardduty-controls.md#guardduty-12)  | GuardDuty La supervisión del tiempo de ejecución de ECS debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [GuardDuty1.3](guardduty-controls.md#guardduty-13)  | GuardDuty La monitorización del tiempo de ejecución de EC2 debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [IAM.1](iam-controls.md#iam-1)  |  Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”  | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [IAM.2](iam-controls.md#iam-2)  |  Los usuarios de IAM no deben tener políticas de IAM asociadas  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS AWS Foundations Benchmark v1.2.0, Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [IAM.3](iam-controls.md#iam-3)  |  Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS AWS Foundations Benchmark v1.2.0, mejores prácticas de seguridad fundamental, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.4](iam-controls.md#iam-4)  |  La clave de acceso del usuario raíz de IAM no debería existir  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS AWS Foundations Benchmark v1.2.0, Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.5](iam-controls.md#iam-5)  |  MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS AWS Foundations Benchmark v1.2.0, mejores prácticas de seguridad fundamental, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.6](iam-controls.md#iam-6)  |  La MFA de hardware debe estar habilitada para el usuario raíz  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, mejores prácticas de seguridad fundamental, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.7](iam-controls.md#iam-7)  |  Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [IAM.8](iam-controls.md#iam-8)  |  Deben eliminarse las credenciales de usuario de IAM que no se utilicen  | CIS AWS Foundations Benchmark v1.2.0, prácticas recomendadas AWS fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.9](iam-controls.md#iam-9)  |  La MFA debe estar habilitada para el usuario raíz  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.10](iam-controls.md#iam-10)  |  Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras  | NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.11](iam-controls.md#iam-11)  |  Asegurar que la política de contraseñas de IAM requiere al menos una letra mayúscula  | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.12](iam-controls.md#iam-12)  |  Asegurar que la política de contraseñas de IAM requiere al menos una letra minúscula  | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.13](iam-controls.md#iam-13)  |  Asegurar que la política de contraseñas de IAM requiere al menos un símbolo  | Índice de referencia CIS Foundations v1.2.0, NIST SP 800-171 rev. 2 AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.14](iam-controls.md#iam-14)  |  Asegurar que la política de contraseñas de IAM requiere al menos un número  | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.15](iam-controls.md#iam-15)  |  Asegurar que la política de contraseñas de IAM requiere una longitud mínima de 14 o más  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2 AWS AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.16](iam-controls.md#iam-16)  |  Asegurar que la política de contraseñas de IAM impide la reutilización de contraseñas  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST SP 800-171 rev. 2, PCI AWS DSS v4.0.1 AWS  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.17](iam-controls.md#iam-17)  |  Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos  | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.18](iam-controls.md#iam-18)  |  Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS AWS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.19](iam-controls.md#iam-19)  |  MFA se debe habilitar para todos los usuarios de IAM  | NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v3.2.1; PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.21](iam-controls.md#iam-21)  |  Las políticas de IAM administrada por los clientes que usted cree no deberían permitir acciones comodín para los servicios  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [IAM.22](iam-controls.md#iam-22)  |  Deben eliminarse las credenciales de usuario de IAM que no se hayan utilizado durante 45 días  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-171 rev. 2 AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [IAM.23](iam-controls.md#iam-23)  | Los analizadores del Analizador de acceso de IAM deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IAM.24](iam-controls.md#iam-24)  | Los roles de IAM deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IAM.25](iam-controls.md#iam-25)  | Los usuarios de IAM deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IAM.26](iam-controls.md#iam-26) |  SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [IAM.27](iam-controls.md#iam-27)  | Las identidades de IAM no deberían tener la política adjunta AWSCloud ShellFullAccess  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [IAM.28](iam-controls.md#iam-28)  | El analizador de acceso externo del Analizador de acceso de IAM debe estar habilitado | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0 AWS  | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Inspector.1](inspector-controls.md#inspector-1)  | El análisis de EC2 en Amazon Inspector debe estar habilitado | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Inspector.2](inspector-controls.md#inspector-2)  | El análisis de ECR en Amazon Inspector debe estar habilitado | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Inspector.3](inspector-controls.md#inspector-3)  | El análisis de código de Lambda en Amazon Inspector debe estar habilitado | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Inspector.4](inspector-controls.md#inspector-4)  | El análisis de estándar de Lambda en Amazon Inspector debe estar habilitado | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [IoT.1](iot-controls.md#iot-1)  | AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IoT.2](iot-controls.md#iot-2)  | AWS IoT Core las acciones de mitigación deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IoT.3](iot-controls.md#iot-3)  | AWS IoT Core las dimensiones deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IoT.4](iot-controls.md#iot-4)  | AWS IoT Core los autorizadores deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IoT.5](iot-controls.md#iot-5)  | AWS IoT Core Los alias de los roles deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IoT.6](iot-controls.md#iot-6)  | AWS IoT Core las políticas deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [iOS 1.1 TEvents](iotevents-controls.md#iotevents-1)  | AWS IoT Events las entradas deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [iOS 1.2 TEvents](iotevents-controls.md#iotevents-2)  | AWS IoT Events los modelos de detectores deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [iOS 1.3 TEvents](iotevents-controls.md#iotevents-3)  | AWS IoT Events los modelos de alarma deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Wise.1 TSite](iotsitewise-controls.md#iotsitewise-1)  | AWS IoT SiteWise los modelos de activos deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Wise.2 TSite](iotsitewise-controls.md#iotsitewise-2)  | AWS IoT SiteWise los cuadros de mando deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Wise.3 TSite](iotsitewise-controls.md#iotsitewise-3)  | AWS IoT SiteWise las pasarelas deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Wise.4 TSite](iotsitewise-controls.md#iotsitewise-4)  | AWS IoT SiteWise los portales deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Wise.5 TSite](iotsitewise-controls.md#iotsitewise-5)  | AWS IoT SiteWise los proyectos deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Maker.1 TTwin](iottwinmaker-controls.md#iottwinmaker-1)  | AWS Los trabajos de TwinMaker sincronización de IoT deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Maker.2 TTwin](iottwinmaker-controls.md#iottwinmaker-2)  | AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io Maker.3 TTwin](iottwinmaker-controls.md#iottwinmaker-3)  | AWS TwinMaker Las escenas de IoT deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Io MakerTTwin. 4](iottwinmaker-controls.md#iottwinmaker-4)  | AWS TwinMaker Las entidades de IoT deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [iOS 1.1 TWireless](iotwireless-controls.md#iotwireless-1)  | AWS Los grupos de multidifusión de IoT Wireless deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [iOS 1.2 TWireless](iotwireless-controls.md#iotwireless-2)  | AWS Los perfiles de servicio de IoT Wireless deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [iOS 1.3 TWireless](iotwireless-controls.md#iotwireless-3)  | AWS Las tareas de IoT Wireless FUOTA deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IVS.1](ivs-controls.md#ivs-1)  | Los pares de claves de reproducción de IVS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IVS.2](ivs-controls.md#ivs-2)  | Las configuraciones de grabación de IVS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [IVS.3](ivs-controls.md#ivs-3)  | Los canales de IVS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Keyspaces.1](keyspaces-controls.md#keyspaces-1)  | Los espacios clave de Amazon Keyspaces deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Kinesis.1](kinesis-controls.md#kinesis-1)  |  Las transmisiones de Kinesis deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Kinesis.2](kinesis-controls.md#kinesis-2)  | Las transmisiones de Kinesis deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Kinesis.3](kinesis-controls.md#kinesis-3)  | Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [KMS.1](kms-controls.md#kms-1)  |  Las políticas administradas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [KMS.2](kms-controls.md#kms-2)  |  Las entidades principales de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [KMS.3](kms-controls.md#kms-3)  |  AWS KMS keys no debe borrarse involuntariamente  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [KMS.4](kms-controls.md#kms-4)  |  AWS KMS key la rotación debe estar habilitada  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 rev. 5, PCI AWS DSS v3.2.1, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [KMS.5](kms-controls.md#kms-5)  | Las claves KMS no deben ser de acceso público | AWS Mejores prácticas fundamentales de seguridad | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Lambda.1](lambda-controls.md#lambda-1)  |  Las funciones de Lambda deberían prohibir el acceso público  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Lambda.2](lambda-controls.md#lambda-2)  |  Las funciones de Lambda deben usar los últimos tiempos de ejecución  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Lambda.3](lambda-controls.md#lambda-3)  |  Las funciones de Lambda deben estar en una VPC  |  PCI DSS v3.2.1, NIST SP 800-53 rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Lambda.5](lambda-controls.md#lambda-5)  |  Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [Lambda.6](lambda-controls.md#lambda-6)  | Las funciones de Lambda deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Lambda.7](lambda-controls.md#lambda-7)  | Las funciones Lambda deben tener activado el rastreo AWS X-Ray activo | NIST SP 800-53 Rev. 5 | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Macie.1](macie-controls.md#macie-1)  |  Amazon Macie debe estar habilitado  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [Macie.2](macie-controls.md#macie-2)  | La detección automática de datos confidenciales de Macie debe estar habilitada | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [MSK.1](msk-controls.md#msk-1)  |  Los clústeres de MSK deben cifrarse en tránsito entre los nodos de los corredores  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [MSK.2](msk-controls.md#msk-2)  |  Los clústeres de MSK deberían tener configurada una supervisión mejorada  |  NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [MSK.3](msk-controls.md#msk-3)  | Los conectores de MSK Connect deben cifrarse en tránsito | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  | El cambio se ha activado | 
|  [MSK.4](msk-controls.md#msk-4)  | Los clústeres de MSK deben tener el acceso público desactivado | AWS Mejores prácticas fundamentales de seguridad | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [MSK.5](msk-controls.md#msk-5)  | Los conectores de MSK deben tener el registro habilitado | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [MSK.6](msk-controls.md#msk-6)  | Los clústeres de MSK deben desactivar el acceso no autenticado | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [MQ.2](mq-controls.md#mq-2)  | Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [MQ.4](mq-controls.md#mq-4)  | Los agentes de Amazon MQ deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [MQ.5](mq-controls.md#mq-5)  |  Los corredores de ActiveMQ deberían usar el modo de implementación active/standby  | NIST SP 800-53 Rev. 5 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [MQ.6](mq-controls.md#mq-6)  |  Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres  | NIST SP 800-53 Rev. 5 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Neptune.1](neptune-controls.md#neptune-1)  |  Los clústeres de bases de datos de Neptune deberían estar cifrados en reposo  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  | El cambio se ha activado | 
|  [Neptune.2](neptune-controls.md#neptune-2)  |  Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  | El cambio se ha activado | 
|  [Neptune.3](neptune-controls.md#neptune-3)  |  Las instantáneas del clúster de base de datos de Neptune no deben ser públicas  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Neptune.4](neptune-controls.md#neptune-4)  |  Los clústers de Neptune DB deben tener habilitada la protección contra eliminación.  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Neptune.5](neptune-controls.md#neptune-5)  |  Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automatizadas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [Neptune.6](neptune-controls.md#neptune-6)  |  Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Neptune.7](neptune-controls.md#neptune-7)  |  Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Neptune.8](neptune-controls.md#neptune-8)  |  Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Neptune.9](neptune-controls.md#neptune-9)  |  Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [NetworkFirewall1](networkfirewall-controls.md#networkfirewall-1).  |  Los firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [NetworkFirewall2.](networkfirewall-controls.md#networkfirewall-2)  |  El registro de Network Firewall debe estar habilitado  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [NetworkFirewall3.](networkfirewall-controls.md#networkfirewall-3)  |  Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [NetworkFirewall4.](networkfirewall-controls.md#networkfirewall-4)  |  La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos.  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [NetworkFirewall5.](networkfirewall-controls.md#networkfirewall-5)  |  La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados.  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [NetworkFirewall6.](networkfirewall-controls.md#networkfirewall-6)  |  El grupo de reglas de firewall de redes sin estado no debe estar vacío  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [NetworkFirewall7.](networkfirewall-controls.md#networkfirewall-7)  | Los firewall de Network Firewall deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [NetworkFirewall8.](networkfirewall-controls.md#networkfirewall-8)  | Las políticas de firewall de Network Firewall deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [NetworkFirewall9.](networkfirewall-controls.md#networkfirewall-9)  |  Los firewalls de Network Firewall deben tener habilitada la protección de eliminación  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [NetworkFirewall1.0](networkfirewall-controls.md#networkfirewall-10)  | Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Opensearch.1](opensearch-controls.md#opensearch-1)  |  OpenSearch los dominios deben tener habilitado el cifrado en reposo  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.2](opensearch-controls.md#opensearch-2)  |  OpenSearch los dominios no deben ser de acceso público  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.3](opensearch-controls.md#opensearch-3)  |  OpenSearch los dominios deben cifrar los datos enviados entre nodos  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.4](opensearch-controls.md#opensearch-4)  |  OpenSearch el registro de errores de dominio en Logs debe estar habilitado CloudWatch  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.5](opensearch-controls.md#opensearch-5)  |  OpenSearch los dominios deben tener habilitado el registro de auditoría  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.6](opensearch-controls.md#opensearch-6)  |  OpenSearch los dominios deben tener al menos tres nodos de datos  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.7](opensearch-controls.md#opensearch-7)  |  OpenSearch los dominios deben tener habilitado un control de acceso detallado  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.8](opensearch-controls.md#opensearch-8)  | Las conexiones a los OpenSearch dominios deben cifrarse mediante la última política de seguridad de TLS |  AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Opensearch.9](opensearch-controls.md#opensearch-9)  | OpenSearch los dominios deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Opensearch.10](opensearch-controls.md#opensearch-10)  |  OpenSearch los dominios deben tener instalada la última actualización de software  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Opensearch.11](opensearch-controls.md#opensearch-11)  | OpenSearch los dominios deben tener al menos tres nodos principales dedicados | NIST SP 800-53 Rev. 5 | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [PCA.1](pca-controls.md#pca-1)  |  AWS Private CA la autoridad de certificación raíz debe estar deshabilitada  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  | Periódico | 
|  [PCA.2](pca-controls.md#pca-2)  | AWS Las autoridades certificadoras de CA privadas deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.1](rds-controls.md#rds-1)  |  Las instantáneas de RDS deben ser privadas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.2](rds-controls.md#rds-2)  |  Las instancias de base de datos RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.3](rds-controls.md#rds-3)  |  Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo  | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 rev. 5 AWS AWS  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.4](rds-controls.md#rds-4)  |  Las instantáneas del clúster de RDS y las instantáneas de las bases de datos deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.5](rds-controls.md#rds-5)  |  Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad  | CIS AWS Foundations Benchmark v5.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.6](rds-controls.md#rds-6)  |  Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS  |  AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [RDS.7](rds-controls.md#rds-7)  |  Los clústeres RDS deben tener habilitada la protección contra la eliminación  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  | MEDIO |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.8](rds-controls.md#rds-8)  |  Indica si las instancias de base de datos de RDS debe tener la protección contra eliminación habilitada.  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.9](rds-controls.md#rds-9)  | Las instancias de base de datos de RDS deben publicar registros en Logs CloudWatch  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.10](rds-controls.md#rds-10)  |  La autenticación de IAM debe configurarse para las instancias de RDS  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.11](rds-controls.md#rds-11)  |  Las instancias RDS deben tener habilitadas las copias de seguridad automáticas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [RDS.12](rds-controls.md#rds-12)  |  La autenticación de IAM debe configurarse para los clústeres de RDS  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.13](rds-controls.md#rds-13)  |  Deben habilitarse las actualizaciones automáticas entre versiones secundarias de RDS  | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, prácticas recomendadas de seguridad AWS fundamentales, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.14](rds-controls.md#rds-14)  |  Los clústeres de Amazon Aurora deben tener habilitada la característica de búsqueda de datos anteriores  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [RDS.15](rds-controls.md#rds-15)  |  Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad  | CIS AWS Foundations Benchmark v5.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.16](rds-controls.md#rds-16)  | Los clústeres de bases de datos de Aurora se deben configurar para copiar etiquetas en instantáneas de bases de datos | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAJA  | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [RDS.17](rds-controls.md#rds-17)  |  Las instancias de base de datos de RDS deben configurarse para copiar etiquetas en las instantáneas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.18](rds-controls.md#rds-18)  |  Las instancias de RDS deben implementarse en una VPC  |   |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.19](rds-controls.md#rds-19)  |  Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos del clúster  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.20](rds-controls.md#rds-20)  |  Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos de las instancias de bases de datos  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.21](rds-controls.md#rds-21)  |  Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de parámetros de bases de datos  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.22](rds-controls.md#rds-22)  |  Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de seguridad de bases de datos  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.23](rds-controls.md#rds-23)  |  Las instancias RDS no deben usar el puerto predeterminado de un motor de base de datos  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.24](rds-controls.md#rds-24)  |  Los clústeres de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.25](rds-controls.md#rds-25)  |  Las instancias de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.26](rds-controls.md#rds-26)  |  Las instancias de base de datos de RDS tienen que ser protegidas por planes de copia de seguridad  |  NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [RDS.27](rds-controls.md#rds-27)  |  Los clústeres de bases de datos de RDS deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.28](rds-controls.md#rds-28)  | Los clústeres de base de datos de RDS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.29](rds-controls.md#rds-29)  | Las instantáneas del clúster de base de datos de RDS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.30](rds-controls.md#rds-30)  | Las instancias de bases de datos de RDS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.31](rds-controls.md#rds-31)  | Los grupos de seguridad de bases de datos de RDS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.32](rds-controls.md#rds-32)  | Las instantáneas de bases de datos de RDS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.33](rds-controls.md#rds-33)  | Los grupos de subredes de bases de datos de RDS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.34](rds-controls.md#rds-34)  |  Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en CloudWatch Logs  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.35](rds-controls.md#rds-35)  |  Los clústeres de bases de datos de RDS deberían tener habilitada la actualización automática de las versiones secundarias  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [RDS.36](rds-controls.md#rds-36)  | Las instancias de base de datos de RDS para PostgreSQL deberían publicar registros en Logs CloudWatch  | AWS Prácticas recomendadas fundamentales de seguridad, PCI DSS v4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.37](rds-controls.md#rds-37)  | Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch  | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [RDS.38](rds-controls.md#rds-38)  | Las instancias de base de datos de RDS para PostgreSQL se deben cifrar en tránsito | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RDS.39](rds-controls.md#rds-39)  | Las instancias de base de datos de RDS para MySQL se deben cifrar en tránsito | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RDS.40](rds-controls.md#rds-40)  | Las instancias de base de datos de RDS para SQL Server deben publicar los registros en Logs CloudWatch  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [RDS.41](rds-controls.md#rds-41)  | Las instancias de base de datos de RDS para SQL Server se deben cifrar en tránsito | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RDS.42](rds-controls.md#rds-42)  | Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [RDS.43](rds-controls.md#rds-43)  | Los proxies de base de datos de RDS deben exigir el cifrado TLS para las conexiones | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RDS.44](rds-controls.md#rds-44)  | Las instancias de base de datos de RDS para MariaDB se deben cifrar en tránsito | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RDS.45](rds-controls.md#rds-45)  | Los clústeres de base de datos de Aurora MySQL deben tener habilitado el registro de auditoría | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RDS.46](rds-controls.md#rds-46)  | Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet. | AWS Mejores prácticas fundamentales de seguridad | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RDS.47](rds-controls.md#rds-47)  | Los clústeres de bases de datos de RDS para PostgreSQL se deben configurar para copiar etiquetas en las instantáneas de bases de datos | AWS Mejores prácticas fundamentales de seguridad | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [RDS.48](rds-controls.md#rds-48)  | Los clústeres de bases de datos de RDS para MySQL se deben configurar para copiar etiquetas en las instantáneas de bases de datos | AWS Mejores prácticas fundamentales de seguridad | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [RDS.50](rds-controls.md#rds-50)  |  Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) Sí  |  El cambio se ha activado  | 
|  [Redshift.1](redshift-controls.md#redshift-1)  |  Los clústeres de Amazon Redshift deberían prohibir el acceso público  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Redshift.2](redshift-controls.md#redshift-2)  |  Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Redshift.3](redshift-controls.md#redshift-3)  |  Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [Redshift.4](redshift-controls.md#redshift-4)  |  Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Redshift.6](redshift-controls.md#redshift-6)  |  Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las versiones principales  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Redshift.7](redshift-controls.md#redshift-7)  |  Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Redshift.8](redshift-controls.md#redshift-8)  |  Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Redshift.10](redshift-controls.md#redshift-10)  |  Los clústeres de Redshift deben estar cifrados en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [Redshift.11](redshift-controls.md#redshift-11)  | Los clústeres de Redshift deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Redshift.12](redshift-controls.md#redshift-12)  | Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Redshift.13](redshift-controls.md#redshift-13)  | Las instantáneas del clúster de Redshift deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Redshift.14](redshift-controls.md#redshift-14)  | Los grupos de subredes del clúster de Redshift deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Redshift.15](redshift-controls.md#redshift-15)  | Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Redshift.16](redshift-controls.md#redshift-16)  | Los grupos de subredes del clúster de Redshift deben tener subredes de varias zonas de disponibilidad | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Redshift.17](redshift-controls.md#redshift-17)  | Los grupos de parámetros del clúster de Redshift deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Redshift.18](redshift-controls.md#redshift-18)  | Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [RedshiftServerless1](redshiftserverless-controls.md#redshiftserverless-1).  | Los grupos de trabajo de Amazon Redshift sin servidor deben utilizar enrutamiento de VPC mejorado | AWS Mejores prácticas fundamentales de seguridad | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RedshiftServerless2.](redshiftserverless-controls.md#redshiftserverless-2)  | Se debe requerir que las conexiones a los grupos de trabajo de Redshift Serverless utilicen SSL | AWS Mejores prácticas de seguridad fundamentales | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RedshiftServerless3.](redshiftserverless-controls.md#redshiftserverless-3)  | Los grupos de trabajo de Redshift sin servidor deben prohibir el acceso público | AWS Mejores prácticas de seguridad fundamentales | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RedshiftServerless4.](redshiftserverless-controls.md#redshiftserverless-4)  | Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | Periódico | 
|  [RedshiftServerless5.](redshiftserverless-controls.md#redshiftserverless-5)  | Los espacios de nombres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [RedshiftServerless6.](redshiftserverless-controls.md#redshiftserverless-6)  | Los espacios de nombres Redshift Serverless deberían exportar los registros a los registros CloudWatch  | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Route53.1](route53-controls.md#route53-1)  | Las comprobaciones de estado de Route 53 deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Route53.2](route53-controls.md#route53-2)  |  Las zonas alojadas públicas de Route 53 deben registrar las consultas de DNS  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [S3.1](s3-controls.md#s3-1)  | Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [S3.2](s3-controls.md#s3-2)  | Los buckets de uso general de S3 deben bloquear el acceso público de lectura | AWS Prácticas recomendadas fundamentales de seguridad, PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se desencadena y es periódico | 
|  [S3.3](s3-controls.md#s3-3)  | Los buckets de uso general de S3 deben bloquear el acceso público de escritura | AWS Prácticas recomendadas fundamentales de seguridad, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se desencadena y es periódico | 
|  [S3.5](s3-controls.md#s3-5)  | En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.6](s3-controls.md#s3-6)  | Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.7](s3-controls.md#s3-7)  | Los buckets de uso general de S3 deben usar la replicación entre regiones | PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.8](s3-controls.md#s3-8)  | Los buckets de uso general de S3 deben bloquear el acceso público | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundational Security Best Practices, AWS NIST SP 800-53 Rev. 5, AWS PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.9](s3-controls.md#s3-9)  | Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.10](s3-controls.md#s3-10)  | Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.11](s3-controls.md#s3-11)  | Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [S3.12](s3-controls.md#s3-12)  | ACLs no debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3 | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.13](s3-controls.md#s3-13)  | Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [S3.14](s3-controls.md#s3-14)  | Los buckets de uso general de S3 deben tener habilitado el control de versiones | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.15](s3-controls.md#s3-15)  | Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos | NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [S3.17](s3-controls.md#s3-17)  | Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys | NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.19](s3-controls.md#s3-19)  | Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.20](s3-controls.md#s3-20)  | Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS  | BAJA | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.22](s3-controls.md#s3-22)  | Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto | CIS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS  | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [S3.23](s3-controls.md#s3-23)  | Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS  | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [S3.24](s3-controls.md#s3-24)  | Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público | AWS Mejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [S3.25](s3-controls.md#s3-25)  | Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida | AWS Mejores prácticas de seguridad fundamentales | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SageMaker1](sagemaker-controls.md#sagemaker-1).  |  Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [SageMaker2.](sagemaker-controls.md#sagemaker-2)  |  SageMaker las instancias de notebook deben lanzarse en una VPC personalizada  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker3.](sagemaker-controls.md#sagemaker-3)  |  Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker4.](sagemaker-controls.md#sagemaker-4)  | SageMaker las variantes de producción de terminales deben tener un recuento inicial de instancias superior a 1 | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [SageMaker5.](sagemaker-controls.md#sagemaker-5)  | SageMaker los modelos deben tener habilitado el aislamiento de red | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [SageMaker6.](sagemaker-controls.md#sagemaker-6)  | SageMaker las configuraciones de imagen de la aplicación deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SageMaker7.](sagemaker-controls.md#sagemaker-7)  | SageMaker las imágenes deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SageMaker8.](sagemaker-controls.md#sagemaker-8)  | SageMaker las instancias de notebook deberían ejecutarse en plataformas compatibles | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [SageMaker9.](sagemaker-controls.md#sagemaker-9)  |  SageMaker las definiciones de trabajos de calidad de datos deben tener habilitado el cifrado del tráfico entre contenedores  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker.10](sagemaker-controls.md#sagemaker-10)  |  SageMaker las definiciones de los trabajos de explicabilidad del modelo deberían tener habilitado el cifrado del tráfico entre contenedores  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker1.1](sagemaker-controls.md#sagemaker-11)  |  SageMaker las definiciones de tareas relacionadas con la calidad de los datos deben tener habilitado el aislamiento de la red  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker1.2](sagemaker-controls.md#sagemaker-12)  |  SageMaker las definiciones de trabajo basadas en el sesgo del modelo deberían tener habilitado el aislamiento de la red  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker1.3](sagemaker-controls.md#sagemaker-13)  |  SageMaker las definiciones de trabajos con calidad de modelo deberían tener habilitado el cifrado del tráfico entre contenedores  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker1.4](sagemaker-controls.md#sagemaker-14)  |  SageMaker los horarios de monitoreo deben tener habilitado el aislamiento de la red  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SageMaker.15](sagemaker-controls.md#sagemaker-15)  |  SageMaker las definiciones de tareas basadas en el sesgo del modelo deberían tener habilitado el cifrado del tráfico entre contenedores  |  AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SecretsManager1](secretsmanager-controls.md#secretsmanager-1).  |  Los secretos de Secrets Manager deberían tener habilitada la rotación automática  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [SecretsManager2.](secretsmanager-controls.md#secretsmanager-2)  |  Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente  | AWS Prácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SecretsManager3.](secretsmanager-controls.md#secretsmanager-3)  |  Eliminación de secretos no utilizados de Secrets Manager  | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [SecretsManager4.](secretsmanager-controls.md#secretsmanager-4)  |  Los secretos de Secrets Manager deben rotarse en un número específico de días  | AWS Mejores prácticas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  Periódico  | 
|  [SecretsManager5.](secretsmanager-controls.md#secretsmanager-5)  | Los secretos de Secrets Manager deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [ServiceCatalog1](servicecatalog-controls.md#servicecatalog-1).  | Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [SES.1](ses-controls.md#ses-1)  | Las listas de contactos de SES deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SES.2](ses-controls.md#ses-2)  | Los conjuntos de configuración de SES deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SES.3](ses-controls.md#ses-3)  | Los conjuntos de configuración de SES deben tener el TLS activado para enviar correos electrónicos | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [SNS.1](sns-controls.md#sns-1)  | Los temas de SNS deben cifrarse en reposo mediante AWS KMS | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [SNS.3](sns-controls.md#sns-3)  | Los temas de SNS deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SNS.4](sns-controls.md#sns-4)  | Las políticas de acceso a los temas de SNS no deberían permitir el acceso público | AWS Mejores prácticas fundamentales de seguridad | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [SQS.1](sqs-controls.md#sqs-1)  |  Las colas de Amazon SQS deben cifrarse en reposo  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SQS.2](sqs-controls.md#sqs-2)  | Las colas de SQS deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SQS.3](sqs-controls.md#sqs-3)  | Las políticas de acceso de la cola de SQS no deben permitir el acceso público | AWS Mejores prácticas fundamentales de seguridad | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [SSM.1](ssm-controls.md#ssm-1)  |  Las instancias de EC2 deben administrarse mediante AWS Systems Manager  |  AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SSM.2](ssm-controls.md#ssm-2)  |  Las instancias EC2 administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche  | AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  ALTO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SSM.3](ssm-controls.md#ssm-3)  |  Las instancias EC2 administradas por el Administrador de sistemas deben tener un estado de conformidad de asociación de COMPLIANT  | AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [SSM.4](ssm-controls.md#ssm-4)  |  Los documentos del SSM no deben ser públicos  |  AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5  |  CRÍTICO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [SSM.5](ssm-controls.md#ssm-5)  | Los documentos de SSM deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [SSM.6](ssm-controls.md#ssm-6)  | SSM Automation debería tener el registro habilitado CloudWatch  | AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [SSM.7](ssm-controls.md#ssm-7)  | Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público | AWS Mejores prácticas fundamentales de seguridad v1.0.0 | CRÍTICO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [StepFunctions1](stepfunctions-controls.md#stepfunctions-1).  |  Step Functions indica que las máquinas deberían tener el registro activado  | AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 |  MEDIO  |  ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí  |  El cambio se ha activado  | 
|  [StepFunctions2.](stepfunctions-controls.md#stepfunctions-2)  | Las actividades de Step Functions deben estar etiquetadas | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Transfer.1](transfer-controls.md#transfer-1)  | Los flujos de trabajo de Transfer Family deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Transfer.2](transfer-controls.md#transfer-2)  | Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | Periódico | 
|  [Transferencia.3](transfer-controls.md#transfer-3)  | Los conectores de Transfer Family deben tener el registro habilitado | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [Transferencia 4](transfer-controls.md#transfer-4)  | Los acuerdos de Transfer Family deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Transferencia.5](transfer-controls.md#transfer-5)  | Los certificados de Transfer Family deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Transfer.6](transfer-controls.md#transfer-6)  | Los conectores de Transfer Family deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [Transfer.7](transfer-controls.md#transfer-7)  | Los perfiles de Transfer Family deben estar etiquetados | AWS Estándar de etiquetado de recursos | BAJA | ![\[Yes\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-yes.png) Sí | El cambio se ha activado | 
|  [WAF.1](waf-controls.md#waf-1)  |  AWS El registro WAF Classic Global Web ACL debe estar habilitado  | AWS Prácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [WAF.2](waf-controls.md#waf-2)  |  AWS Las reglas regionales clásicas de la WAF deben tener al menos una condición  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WAF.3](waf-controls.md#waf-3)  |  AWS Los grupos de reglas regionales clásicas de WAF deben tener al menos una regla  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WAF.4](waf-controls.md#waf-4)  |  AWS La web WAF Classic Regional ACLs debe tener al menos una regla o grupo de reglas  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WAF.6](waf-controls.md#waf-6)  |  AWS Las reglas globales de WAF Classic deben tener al menos una condición  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WAF.7](waf-controls.md#waf-7)  |  AWS Los grupos de reglas globales de WAF Classic deben tener al menos una regla  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WAF.8](waf-controls.md#waf-8)  |  AWS La web global de WAF Classic ACLs debe tener al menos una regla o grupo de reglas  |  AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WAF.10](waf-controls.md#waf-10)  |  AWS La web WAF ACLs debe tener al menos una regla o grupo de reglas  |  AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WAF.11](waf-controls.md#waf-11)  |  AWS El registro de ACL web en WAF debe estar habilitado  | NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 |  BAJA  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  Periódico  | 
|  [WAF.12](waf-controls.md#waf-12)  |  AWS Las reglas de WAF deben tener CloudWatch las métricas habilitadas  |  AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIO  |  ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No  |  El cambio se ha activado  | 
|  [WorkSpaces1](workspaces-controls.md#workspaces-1).  | WorkSpaces los volúmenes de usuario deben cifrarse en reposo | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 
|  [WorkSpaces2.](workspaces-controls.md#workspaces-2)  | WorkSpaces los volúmenes raíz deben cifrarse en reposo | AWS Mejores prácticas fundamentales de seguridad | MEDIO | ![\[No\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/icon-no.png) No | El cambio se ha activado | 

# Registro de cambios de los controles del CSPM de Security Hub
<a name="controls-change-log"></a>

El siguiente registro de cambios registra los cambios importantes en los controles CSPM de AWS Security Hub existentes, lo que puede provocar cambios en el estado general de un control y en el estado de conformidad de sus hallazgos. Para obtener información sobre cómo el CSPM de Security Hub evalúa el estado de un control, consulte [Evaluación del estado de cumplimiento y del estado del control](controls-overall-status.md). Los cambios pueden tardar unos días después de su entrada en este registro y afectar a todos los elementos Regiones de AWS en los que esté disponible el control.

Este registro realiza el seguimiento de los cambios que se han producido desde abril de 2023. Elija un control para revisar información adicional sobre él. Los cambios en el título se mantienen visibles en la descripción detallada del control durante 90 días.


| Fecha del cambio | ID y título de control | Descripción del cambio | 
| --- | --- | --- | 
| 3 de abril de 2026 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) | Este control comprueba si un clúster de Amazon EKS se ejecuta en una versión de Kubernetes compatible. El CSPM de Security Hub modificó el valor del parámetro de este control de `1.32` a `1.33`. El soporte estándar para la versión 1.32 de Kubernetes en Amazon EKS finalizó el 23 de marzo de 2026.  | 
| 3 de abril de 2026 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | El parámetro Lambda.2 para los tiempos de ejecución compatibles ya no se incluye, ya que ruby3.2 Lambda ha dejado de usar este tiempo de ejecución. | 
| 24 de marzo de 2026 | [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50) | Security Hub CSPM actualizó el título del control para reflejar que el control comprueba todos los clústeres de bases de datos de RDS. | 
| 24 de marzo de 2026 | [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5) | Security Hub CSPM actualizó el título y la descripción del control para reflejar que el control comprueba las definiciones de las tareas de ECS. Security Hub CSPM también actualizó el control para no generar resultados para las definiciones de tareas con una `runtimePlatform` configuración para especificar una familia de `WINDOWS_SERVER` sistemas operativos. | 
| 9 de marzo de 2026 | [AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo | Security Hub CSPM retiró este control y lo eliminó del estándar [AWS Foundational Security Best Practices (FSBP](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)). AWS AppSync ahora proporciona cifrado predeterminado en todas las cachés de API actuales y futuras. | 
| 9 de marzo de 2026 | [AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito | Security Hub CSPM retiró este control y lo eliminó del estándar [AWS Foundational Security Best Practices (FSBP](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)). AWS AppSync ahora proporciona cifrado predeterminado en todas las cachés de API actuales y futuras. | 
| 4 de marzo de 2026 | [ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario | Security Hub CSPM retiró este control y lo eliminó del estándar [AWS Foundational Security Best Practices (FSBP) y del estándar](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) SP 800-53 Rev. 5.  | 
| 5 de febrero de 2026 | [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) | Security Hub CSPM retirará este control y lo eliminará de todos los estándares CSPM de Security Hub aplicables el 9 de marzo de 2026. AWS AppSync proporciona un cifrado predeterminado en todas las cachés de API actuales y futuras. | 
| 5 de febrero de 2026 | [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) | Security Hub CSPM retirará este control y lo eliminará de todos los estándares CSPM de Security Hub aplicables el 9 de marzo de 2026. AWS AppSync proporciona un cifrado predeterminado en todas las cachés de API actuales y futuras. | 
| 16 de enero de 2026 | [[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario](ecs-controls.md#ecs-1) | Security Hub CSPM notificó que este control se retirará y se eliminará de todos los estándares CSPM de Security Hub aplicables después del 16 de febrero de 2026. | 
| 12 de enero de 2026 | [Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4) | Security Hub CSPM actualizó este control para eliminar el `loggingEnabled` parámetro. | 
| 12 de enero de 2026 | [MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias | Security Hub CSPM retiró el control y lo eliminó de todos los estándares aplicables. Security Hub CSPM retiró el control debido a los requisitos de Amazon MQ para las actualizaciones automáticas de las versiones secundarias. [Anteriormente, el control se aplicaba al estándar [AWS Foundational Security Best Practices (FSBP), al estándar](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[NIST SP 800-53 Rev. 5 y al estándar PCI DSS v4.0.1.](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)  | 
| 12 de enero de 2026 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) | Este control comprueba si la configuración del tiempo de ejecución de una AWS Lambda función coincide con los valores esperados para los tiempos de ejecución compatibles en cada idioma. Security Hub CSPM ahora admite `dotnet10` como valor de parámetro para este control. AWS Lambda se agregó soporte para este tiempo de ejecución. | 
| 15 de diciembre de 2025 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) | Este control comprueba si la configuración del tiempo de ejecución de una AWS Lambda función coincide con los valores esperados para los tiempos de ejecución compatibles en cada idioma. Security Hub CSPM ya no admite `python3.9` como valor de parámetro para este control. AWS Lambda ya no es compatible con este tiempo de ejecución. | 
| 12 de diciembre de 2025 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) | Este control comprueba si un clúster de Amazon EKS se ejecuta en una versión de Kubernetes compatible. El CSPM de Security Hub modificó el valor del parámetro de este control de `1.31` a `1.32`. El soporte estándar para la versión 1.31 de Kubernetes en Amazon EKS finalizó el 26 de noviembre de 2025.  | 
| 21 de noviembre de 2025 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) | Este control comprueba si la configuración del tiempo de ejecución de una AWS Lambda función coincide con los valores esperados para los tiempos de ejecución compatibles en cada idioma. El CSPM de Security Hub ahora admite `nodejs24.x` y `python3.14` como valores de parámetros para este control. AWS Lambda se agregó soporte para estos tiempos de ejecución. | 
| 14 de noviembre de 2025 | [[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas](ec2-controls.md#ec2-15) | Security Hub CSPM actualizó la descripción y la justificación de este control. Anteriormente, el control solo comprobaba la asignación automática de IP IPv4 pública en las subredes de Amazon VPC mediante el indicador. `MapPublicIpOnLaunch` Este control ahora comprueba tanto IPv4 la asignación automática de direcciones IP IPv6 públicas como la asignación automática. La descripción y la justificación del control se han actualizado para reflejar estos cambios. | 
| 14 de noviembre de 2025 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) | Este control comprueba si la configuración del tiempo de ejecución de una AWS Lambda función coincide con los valores esperados para los tiempos de ejecución compatibles en cada idioma. El CSPM de Security Hub ahora admite `java25` como valor de parámetro para este control. AWS Lambda agregó compatibilidad para este tiempo de ejecución. | 
| 13 de noviembre de 2025 | [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4) | Security Hub CSPM cambió la severidad de este control de a`HIGH`. `CRITICAL` Permitir el acceso público a los temas de Amazon SNS supone un riesgo de seguridad importante. | 
| 13 de noviembre de 2025 | [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) | Security Hub CSPM cambió la severidad de este control de a`HIGH`. `CRITICAL` Permitir el acceso público a las colas de Amazon SQS supone un riesgo de seguridad importante. | 
| 13 de noviembre de 2025 | [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7) | Security Hub CSPM cambió la severidad de este control de a`MEDIUM`. `HIGH` Este tipo de supervisión del tiempo de ejecución proporciona una detección de amenazas mejorada para los recursos de Amazon EKS. | 
| 13 de noviembre de 2025 | [[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias](mq-controls.md#mq-3) | Security Hub CSPM cambió la severidad de este control de a`LOW`. `MEDIUM` Las actualizaciones de versiones menores incluyen los parches de seguridad necesarios para mantener la seguridad de los corredores de Amazon MQ. | 
| 13 de noviembre de 2025 | [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) | Security Hub CSPM cambió la severidad de este control de a`LOW`. `MEDIUM` Las actualizaciones de software incluyen los parches de seguridad necesarios para mantener la seguridad del OpenSearch dominio. | 
| 13 de noviembre de 2025 | [Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-7) | Security Hub CSPM cambió la severidad de este control de a`LOW`. `MEDIUM` La protección contra la eliminación ayuda a evitar la eliminación accidental de las bases de datos de Amazon RDS y la eliminación de las bases de datos de RDS por parte de entidades no autorizadas. | 
| 13 de noviembre de 2025 | [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) | Security Hub CSPM cambió la severidad de este control de a`LOW`. `MEDIUM` AWS CloudTrail El registro de datos en Amazon CloudWatch Logs se puede utilizar para actividades de auditoría, alarmas y otras operaciones de seguridad importantes. | 
| 13 de noviembre de 2025 | [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) | Security Hub CSPM cambió la severidad de este control de a`HIGH`. `MEDIUM` Compartir AWS Service Catalog carteras con cuentas específicas puede ser intencional y no necesariamente indica que una cartera sea de acceso público. | 
| 13 de noviembre de 2025 | [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) | Security Hub CSPM cambió la severidad de este control de a`MEDIUM`. `LOW` Los nombres `cloudfront.net` de dominio predeterminados para CloudFront las distribuciones de Amazon se generan de forma aleatoria, lo que reduce el riesgo de seguridad. | 
| 13 de noviembre de 2025 | [[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones](elb-controls.md#elb-7) | Security Hub CSPM cambió la severidad de este control de a`MEDIUM`. `LOW` En las implementaciones de varias instancias, otras instancias en buen estado pueden gestionar las sesiones de usuario cuando una instancia se cierra sin agotar la conexión, lo que reduce el impacto operativo y los riesgos de disponibilidad. | 
| 13 de noviembre de 2025 | [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) | Security Hub CSPM actualizó este control para eliminar el parámetro opcional`validAdminUserNames`. | 
| 23 de octubre de 2025 | [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) | El CSPM de Security Hub revirtió los cambios realizados al título, la descripción y la regla de este control el 14 de octubre de 2025. | 
| 22 de octubre de 2025 | [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) | Security Hub CSPM actualizó este control para no generar resultados para CloudFront las distribuciones de Amazon que utilizan orígenes personalizados.  | 
| 16 de octubre de 2025 | [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) | Este control comprueba si una CloudFront distribución de Amazon está configurada para usar una política de seguridad TLS recomendada. El CSPM de Security Hub ahora admite `TLSv1.2_2025` y `TLSv1.3_2025` como valores de parámetros para este control. | 
| 14 de octubre de 2025 | [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) | El CSPM de Security Hub modificó el título, la descripción y la regla de este control. Anteriormente, el control comprobaba los clústeres de Redis OSS y todos los grupos de replicación mediante la regla [elasticache-redis-cluster-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html). El título del control era: Los *clústeres ElastiCache (Redis OSS)* deberían tener habilitadas las copias de seguridad automáticas. [Este control ahora comprueba los clústeres de Valkey, además de los clústeres de Redis OSS y todos los grupos de replicación, mediante la elasticache-automatic-backup-check regla -enabled.](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html) El nuevo título y la nueva descripción reflejan que el control evalúa ambos tipos de clústeres.  | 
| 5 de octubre de 2025 | [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) | La regla de este control se actualizó para generar también un `PASSED` resultado si un dominio de Amazon OpenSearch Service no tiene actualizaciones de software disponibles y el estado de la actualización no es apto. Anteriormente, este control solo generaba `PASSED` resultados si un OpenSearch dominio no tenía actualizaciones de software disponibles y el estado de la actualización era completo.  | 
| 24 de septiembre de 2025 | Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado [RedshiftServerless.7] Los espacios de nombres Redshift Serverless no deben usar el nombre de base de datos predeterminado | El CSPM de Security Hub retiró estos controles y los eliminó de todos los estándares aplicables. El CSPM de Security Hub retiró estos controles debido a limitaciones inherentes de Amazon Redshift que impedían una remediación efectiva de los resultados `FAILED` generados por estos controles. Anteriormente, los controles se aplicaban al estándar [Prácticas recomendadas de seguridad básica de AWS (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html), así como al estándar [NIST SP 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html). El control Redshift.9 también se aplicaba al [estándar administrado por el servicio de AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html).  | 
| 9 de septiembre de 2025 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) | Este control comprueba si la configuración del tiempo de ejecución de una AWS Lambda función coincide con los valores esperados para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub dejó de admitir `nodejs18.x` como valor de parámetro para este control. AWS Lambda dejó de admitir los tiempos de ejecución de Node.js 18. | 
| 13 de agosto de 2025 | [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) | El CSPM de Security Hub modificó el título y la descripción de este control. El nuevo título y la descripción reflejan con mayor precisión que el control comprueba la configuración del `EnableNetworkIsolation` parámetro de los modelos alojados en Amazon SageMaker AI. Anteriormente, el título de este control era: *SageMaker models should block inbound traffic*.  | 
| 13 de agosto de 2025 | [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6) | El CSPM de Security Hub modificó el título y la descripción de este control. El nuevo título y la nueva descripción describen con mayor exactitud el alcance y la naturaleza de la comprobación que realiza este control. Anteriormente, el título de este control era: *EFS mount targets should not be associated with a public subnet*.  | 
| 24 de julio de 2025 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) | Este control comprueba si un clúster de Amazon EKS se ejecuta en una versión de Kubernetes compatible. El CSPM de Security Hub modificó el valor del parámetro de este control de `1.30` a `1.31`. La compatibilidad estándar con la versión 1.30 de Kubernetes en Amazon EKS finalizó el 23 de julio de 2025.  | 
| 23 de julio de 2025 | [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) | El CSPM de Security Hub modificó el título de este control. El nuevo título refleja con mayor precisión que el control solo comprueba las solicitudes de la flota de spot de Amazon EC2 que especifican parámetros de lanzamiento. Anteriormente, el título de este control era: *EC2 Spot Fleet requests should enable encryption for attached EBS volumes*.  | 
| 30 de junio de 2025 | [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13) | El CSPM de Security Hub eliminó este control del estándar [PCI DSS v4.0.1](pci-standard.md). PCI DSS v4.0.1 no exige explícitamente el uso de símbolos en las contraseñas.  | 
| 30 de junio de 2025 | [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17) | El CSPM de Security Hub eliminó este control del estándar [NIST SP 800-171 Revisión 2](standards-reference-nist-800-171.md). NIST SP 800-171 Revisión 2 no exige explícitamente periodos de expiración de contraseñas de 90 días o menos.  | 
| 30 de junio de 2025 | [[RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-16) | El CSPM de Security Hub modificó el título de este control. El nuevo título refleja con mayor precisión que el control solo comprueba los clústeres de bases de datos Amazon Aurora. Anteriormente, el título de este control era: *RDS DB clusters should be configured to copy tags to snapshots*. | 
| 30 de junio de 2025 | [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8) | Este control comprueba si una instancia de bloc de notas de Amazon SageMaker AI está configurada para ejecutarse en una plataforma compatible, en función del identificador de plataforma especificado para la instancia de portátil. El CSPM de Security Hub dejó de admitir `notebook-al2-v1` y `notebook-al2-v2` como valores de parámetro para este control. Las instancias de bloc de notas que se ejecutan en estas plataformas llegaron al fin de su periodo de soporte el 30 de junio de 2025. | 
| 30 de mayo de 2025 | [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10) | El CSPM de Security Hub eliminó este control del estándar [PCI DSS v4.0.1](pci-standard.md). Este control verifica si las políticas de contraseñas de las cuentas de usuario de IAM cumplen los requisitos mínimos, incluida una longitud mínima de 7 caracteres. La versión 4.0.1 de PCI DSS ahora requiere que las contraseñas tengan un mínimo de 8 caracteres. Este control aún se aplica al estándar PCI DSS v3.2.1, el cual tiene requisitos distintos para contraseñas. Para evaluar las políticas de contraseñas de cuentas conforme a los requisitos de PCI DSS v4.0.1, puede usar el control [IAM.7](iam-controls.md#iam-7). Este control exige que las contraseñas tengan un mínimo de 8 caracteres. También admite valores personalizados para la longitud de las contraseñas y otros parámetros. El control IAM.7 forma parte del estándar PCI DSS v4.0.1 en el CSPM de Security Hub.  | 
| 8 de mayo de 2025 | [RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet | El CSPM de Security Hub revirtió la publicación del control RDS.46 en todas las Regiones de AWS. Anteriormente, este control era compatible con el estándar AWS Foundational Security Best Practices (FSBP). | 
| 7 de abril de 2025 | [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) | Este control comprueba si el oyente HTTPS de un equilibrador de carga de aplicación o el oyente TLS de un equilibrador de carga de red están configurados para cifrar los datos en tránsito mediante una política de seguridad recomendada. El CSPM de Security Hub ahora admite dos valores de parámetro adicionales para este control: `ELBSecurityPolicy-TLS13-1-2-Res-2021-06` y `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04`. | 
| 27 de marzo de 2025 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) | Este control comprueba si la configuración del tiempo de ejecución para una función de AWS Lambda coincide con los valores esperados para los tiempos de ejecución compatibles en cada lenguaje. Security Hub CSPM ahora admite `ruby3.4` como valor de parámetro para este control. AWS Lambda se agregó soporte para este tiempo de ejecución. | 
| 26 de marzo de 2025 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) | Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. Para el parámetro `oldestVersionSupported`, el CSPM de Security Hub cambió el valor de `1.29` a `1.30`. `1.30` es ahora la versión más antigua de Kubernetes que aún es compatible. | 
| 10 de marzo de 2025 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) | Este control comprueba si la configuración del tiempo de ejecución para una función de AWS Lambda coincide con los valores esperados para los tiempos de ejecución compatibles en cada lenguaje. El CSPM de Security Hub ya no admite `dotnet6` ni `python3.8` como valores de parámetro para este control. AWS Lambda ya no es compatible con estos tiempos de ejecución. | 
| 7 de marzo de 2025 | [Las instancias de RDS [RDS.18] deben implementarse en una VPC](rds-controls.md#rds-18) | Security Hub CSPM eliminó este control del estándar de mejores prácticas de seguridad AWS fundamentales y automatizó las comprobaciones de los requisitos del NIST SP 800-53 Rev. 5. Dado que la red Amazon EC2-Classic se retiró, las instancias de Amazon Relational Database Service (Amazon RDS) ya no se pueden implementar fuera de una VPC. El control aún forma parte del [estándar administrado por el servicio de AWS Control Tower](service-managed-standard-aws-control-tower.md). | 
| 10 de enero de 2025 | [Glue.2] Los trabajos de AWS pegado deberían tener habilitado el registro | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. | 
| 20 de diciembre de 2024 | EC2.61 a EC2.169  | El CSPM de Security Hub revirtió la publicación de los controles EC2.61 a EC2.169. | 
| 12 de diciembre de 2024 | [Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos](rds-controls.md#rds-23)  | RDS.23 comprueba si un clúster o una instancia de Amazon Relational Database Service (Amazon RDS) utiliza un puerto distinto al puerto predeterminado del motor de base de datos. Hemos actualizado el control para que la AWS Config regla subyacente devuelva un resultado de las instancias NOT\$1APPLICABLE de RDS que forman parte de un clúster. | 
| 2 de diciembre de 2024 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ahora admite nodejs22.x como parámetro. | 
| 26 de noviembre de 2024 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)  | Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. 1.29 es ahora la versión más antigua compatible. | 
| 20 de noviembre de 2024 | [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)  | La configuración 1 comprueba si AWS Config está habilitada, usa la función vinculada al servicio y registra los recursos para los controles habilitados. El CSPM de Security Hub aumentó la gravedad de este control de `MEDIUM` a `CRITICAL`. El CSPM de Security Hub también agregó [nuevos códigos y motivos de estado](controls-findings-create-update.md#control-findings-asff-compliance) para los resultados fallidos de Config.1. Estos cambios reflejan la importancia de Config.1 para el funcionamiento de los controles del CSPM de Security Hub. Si tiene deshabilitado el registro de recursos AWS Config o el registro de recursos, puede recibir resultados de control inexactos. Para recibir un resultado `PASSED` para el control Config.1, active el registro de recursos para los tipos de recursos que correspondan a los controles habilitados del CSPM de Security Hub y desactive los controles que no sean necesarios en la organización. Para obtener instrucciones sobre la configuración AWS Config de Security Hub CSPM, consulte. [Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md) Para ver la lista de los controles del CSPM de Security Hub y sus recursos correspondientes, consulte [AWS Config Recursos necesarios para los hallazgos de control](controls-config-resources.md). | 
| 12 de noviembre de 2024 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ahora admite python3.13 como parámetro. | 
| 11 de octubre de 2024 | ElastiCache controles  | Se han cambiado los títulos de los controles para las versiones ElastiCache 3.3, ElastiCache .4, ElastiCache .5 y ElastiCache .7. Los títulos ya no mencionan Redis OSS porque los controles también se aplican a Valkey. ElastiCache  | 
| 27 de septiembre de 2024 | [[ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos](elb-controls.md#elb-4)  | Se cambió el título del control de El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http a El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos. | 
| 19 de agosto de 2024 | El título cambia a DMS.12 y controles ElastiCache  | Se han cambiado los títulos de los controles de los DMS.12 y ElastiCache de 1.1 a 0.7. ElastiCache Hemos cambiado estos títulos para reflejar un cambio de nombre en el servicio Amazon ElastiCache (Redis OSS). | 
| 15 de agosto de 2024 | [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)  | La configuración 1 comprueba si AWS Config está habilitada, usa la función vinculada al servicio y registra los recursos para los controles habilitados. El CSPM de Security Hub agregó un parámetro personalizado para el control llamado includeConfigServiceLinkedRoleCheck. Si establece este parámetro en false, puede optar por no comprobar si AWS Config utiliza el rol vinculado al servicio. | 
| 31 de julio de 2024 | [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)  | Se cambió el título del control de Los perfiles de seguridad de AWS IoT Core deben estar etiquetados a Los perfiles de seguridad de AWS IoT Device Defender deben estar etiquetados. | 
| 29 de julio de 2024 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub dejó de admitir nodejs16.x como parámetro. | 
| 29 de julio de 2024 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)  | Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. La versión compatible más antigua es 1.28. | 
| 25 de junio de 2024 | [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)  | Este control comprueba si AWS Config está activado, utiliza la función vinculada al servicio y registra los recursos de los controles habilitados. El CSPM de Security Hub actualizó el título del control para reflejar lo que el control evalúa. | 
| 14 de junio de 2024 | [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)  | Este control comprueba si un clúster de base de datos Amazon Aurora MySQL está configurado para publicar registros de auditoría en Amazon CloudWatch Logs. El CSPM de Security Hub actualizó el control para que no genere resultados para los clústeres de bases de datos de Aurora sin servidor v1. | 
| 11 de junio de 2024 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)  | Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. La versión compatible más antigua es 1.27. | 
| 10 de junio de 2024 | [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)  | Este control comprueba si AWS Config está activado y el registro de AWS Config recursos está activado. Anteriormente, el control solo generaba un resultado PASSED si se configuraba el registro para todos los recursos. El CSPM de Security Hub actualizó el control para generar un resultado PASSED cuando el registro está activado para recursos que se requieren para controles habilitados. El control también se ha actualizado para comprobar si se utiliza la función AWS Config vinculada al servicio, que proporciona permisos para registrar los recursos necesarios. | 
| 8 de mayo de 2024 | [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)  | Este control comprueba si el bucket con control de versiones de uso general de Amazon S3 tiene habilitada la eliminación de la autenticación multifactor (MFA). Anteriormente, el control generaba un resultado FAILED para los buckets que tenían una configuración de ciclo de vida. Sin embargo, la eliminación de la MFA con el control de versiones no se puede habilitar en un bucket que tenga una configuración de ciclo de vida. El CSPM de Security Hub actualizó el control para que no genere resultados para los buckets que tienen una configuración de ciclo de vida. La descripción del control se actualizó para reflejar el comportamiento actual.  | 
| 2 de mayo de 2024 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)  | El CSPM de Security Hub actualizó la versión más antigua compatible de Kubernetes en la que un clúster de Amazon EKS se puede ejecutar para producir un resultado aprobado. La versión compatible más antigua actual es Kubernetes 1.26. | 
| 30 de abril de 2024 | [[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta](cloudtrail-controls.md#cloudtrail-3)  | Se ha cambiado el título del control de CloudTrail Debe estar activado a Al menos una CloudTrail ruta debe estar habilitada. Actualmente, este control produce un PASSED resultado si un sendero Cuenta de AWS tiene activado al menos un CloudTrail sendero. El título y la descripción se modificaron para reflejar con precisión el comportamiento actual. | 
| 29 de abril de 2024 | [[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB](autoscaling-controls.md#autoscaling-1)  | Se cambió el título del control de Los grupos de escalado automático asociados a un equilibrador de carga clásico deben usar las comprobaciones de estado a Los grupos de escalado automático asociados a un equilibrador de carga deben usar comprobaciones de estado de ELB. Actualmente, este control evalúa los equilibradores de carga clásicos, de red, de puerta de enlace y de aplicaciones. El título y la descripción se modificaron para reflejar con precisión el comportamiento actual. | 
| 19 de abril de 2024 | [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1)  | El control comprueba si AWS CloudTrail está habilitado y configurado con al menos un registro multirregional que incluya eventos de administración de lectura y escritura. Anteriormente, el control generaba PASSED resultados de forma incorrecta cuando una cuenta tenía CloudTrail habilitada y configurada al menos un registro multirregional, incluso si ningún registro capturaba los eventos de administración de lectura y escritura. El control ahora genera un PASSED resultado solo cuando CloudTrail está habilitado y configurado con al menos un registro multirregional que captura los eventos de administración de lectura y escritura. | 
| 10 de abril de 2024 | [Athena.1] Los grupos de trabajo de Athena deben estar cifrados en reposo  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Los grupos de trabajo de Athena envían registros a buckets de Amazon Simple Storage Service (Amazon S3). Amazon S3 ahora ofrece cifrado predeterminado con claves administradas de S3 (SS3-S3) en buckets S3 nuevos y existentes. | 
| 10 de abril de 2024 | [AutoScaling.4] La configuración de inicio de grupos de Auto Scaling no debe tener un límite de saltos de respuesta de metadatos superior a 1  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Los límites de saltos de respuesta de metadatos para instancias de Amazon Elastic Compute Cloud (Amazon EC2) dependen de las cargas de trabajo. | 
| 10 de abril de 2024 | [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Integrar pilas de AWS CloudFormation con temas de Amazon SNS ya no es una práctica de seguridad recomendada. Si bien puede resultar útil integrar CloudFormation pilas importantes con temas de SNS, no es obligatorio para todas las pilas. | 
| 10 de abril de 2024 | [CodeBuild.5] Los entornos de CodeBuild proyectos no deberían tener habilitado el modo privilegiado  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Habilitar el modo privilegiado en un CodeBuild proyecto no supone un riesgo adicional para el entorno del cliente. | 
| 10 de abril de 2024 | [IAM.20] Evitar el uso del usuario raíz  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. El propósito de este control está cubierto por otro control, [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1). | 
| 10 de abril de 2024 | [SNS.2] Debe habilitarse el registro del estado de la entrega para los mensajes de notificación enviados a un tema  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Registrar el estado de entrega de los temas de SNS ya no es una práctica de seguridad recomendada. Aunque registrar el estado de entrega de los temas importantes del SNS puede resultar útil, no es obligatorio para todos los temas. | 
| 10 de abril de 2024 | [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10)  | Security Hub CSPM eliminó este control de AWS Foundational Security Best Practices y Service-Managed Standard:. AWS Control Tower El propósito de este control está cubierto por otros dos controles: [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13) y [[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones](s3-controls.md#s3-14). Este control sigue siendo parte del NIST SP 800-53 Rev. 5. | 
| 10 de abril de 2024 | [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)  | Security Hub CSPM eliminó este control de AWS Foundational Security Best Practices y Service-Managed Standard:. AWS Control Tower Si bien hay algunos casos en los que las notificaciones de eventos para los buckets de S3 son útiles, no se trata de una práctica de seguridad universal recomendada. Este control sigue siendo parte del NIST SP 800-53 Rev. 5. | 
| 10 de abril de 2024 | [[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS](sns-controls.md#sns-1)  | Security Hub CSPM eliminó este control de AWS Foundational Security Best Practices y Service-Managed Standard:. AWS Control Tower De forma predeterminada, SNS cifra los temas en reposo mediante el cifrado de disco. Para más información, consulte [Cifrado de datos](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html). Ya no se recomienda AWS KMS su uso para cifrar temas como una mejor práctica de seguridad. Este control sigue siendo parte del NIST SP 800-53 Rev. 5. | 
| 8 de abril de 2024 | [[ELB.6] La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada](elb-controls.md#elb-6)  | Se cambió el título del control de El equilibrador de carga de aplicación debe tener habilitada la protección contra eliminaciones a Los equilibradores de carga de red, de las aplicaciones y de la puerta de enlace deben tener habilitada la protección contra eliminaciones. Actualmente, este control evalúa los equilibradores de carga de red, puertas de enlace y aplicaciones. El título y la descripción se modificaron para reflejar con precisión el comportamiento actual. | 
| 22 de marzo de 2024 | [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)  | Se cambió el título de control de Las conexiones a OpenSearch los dominios deben cifrarse mediante TLS 1.2 a Las conexiones a OpenSearch los dominios deben cifrarse mediante la última política de seguridad de TLS. Anteriormente, el control solo comprobaba si las conexiones a los OpenSearch dominios utilizaban TLS 1.2. El control ahora determina si los OpenSearch dominios están cifrados con la última política de seguridad de TLS. PASSED El título y la descripción del control se actualizaron para reflejar el comportamiento actual.  | 
| 22 de marzo de 2024 | [[ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente](es-controls.md#es-8)  | Se cambió el título del control de Las conexiones a dominios de Elasticsearch deben estar cifradas a través de TLS 1.2 a Las conexiones a los dominios de Elasticsearch deben estar cifrados a través de la última política de seguridad de TLS. Anteriormente, el control solo comprobaba si las conexiones a los dominios de Elasticsearch utilizaban TLS 1.2. El control ahora genera un resultado PASSED si los dominios de Elasticsearch están cifrados a través de la última política de seguridad de TLS. El título y la descripción del control se actualizaron para reflejar el comportamiento actual.  | 
| 12 de marzo de 2024 | [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1)  | El título cambió de La configuración del bloqueo de acceso público de S3 debe estar habilitada a Los buckets de uso general de S3 deben tener el bloqueo de acceso público habilitado. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura](s3-controls.md#s3-2)  | Se cambió el título de Los buckets de S3 deben prohibir el acceso de lectura público a Los buckets de uso general de S3 deben bloquear el acceso de lectura público. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura](s3-controls.md#s3-3)  | Se cambió el título de Los buckets de S3 deben prohibir el acceso de escritura público a Los buckets de uso general de S3 deben bloquear el acceso de escritura público. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)  | Se cambió el título de Los buckets de S3 deben requerir solicitudes para usar Secure Socket Layer a Los buckets de uso general de S3 deben requerir solicitudes para usar SSL. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS](s3-controls.md#s3-6)  | Se cambió el título de Los permisos de S3 concedidos a otras Cuentas de AWS en las políticas de bucket deben restringirse a Las políticas de bucket de uso general de S3 deben restringir el acceso a otras Cuentas de AWS. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7)  | Se cambió el título de Los buckets de S3 deben tener la replicación entre regiones habilitada a Los buckets de uso general de S3 deben usar la replicación entre regiones. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7)  | Se cambió el título de Los buckets de S3 deben tener la replicación entre regiones habilitada a Los buckets de uso general de S3 deben usar la replicación entre regiones. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8)  | Se cambió el título de La configuración de acceso público al bloque S3 debe estar habilitada en el nivel de bucket a Los buckets de uso general de S3 deben bloquear el acceso público. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor](s3-controls.md#s3-9)  | Se cambió el título de Se debe habilitar el registro de acceso al bucket de S3 a Se debe habilitar el registro de acceso al servidor para los buckets de uso general de S3. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10)  | Se cambió el título de Los buckets de S3 con el control de versiones habilitado deben tener configuradas las políticas de ciclo de vida a Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)  | Se cambió el título de Los buckets de S3 deben tener las notificaciones de eventos habilitadas a Los buckets de uso general de S3 deben tener las notificaciones de eventos habilitadas. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12)  | El título ha cambiado de listas de control de acceso de S3 (ACLs) y no debe utilizarse para gestionar el acceso de los usuarios a los depósitos a no ACLs debe utilizarse para gestionar el acceso de los usuarios a los depósitos de uso general de S3. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13)  | Se cambió el título de Los buckets de S3 deben tener configuradas las políticas de ciclo de vida a Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones](s3-controls.md#s3-14)  | Se cambió el título de Los buckets de S3 deben utilizar el control de versiones a Los buckets de uso general de S3 deben tener el control de versiones habilitado. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos](s3-controls.md#s3-15)  | Se cambió el título de Los buckets de S3 deben configurarse para usar el Bloqueo de objetos a Los buckets de uso general de S3 deben tener Bloqueo de objetos habilitado. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 12 de marzo de 2024 | [[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys](s3-controls.md#s3-17)  | Se cambió el título de Los buckets de S3 deben estar cifrados en reposo a través de AWS KMS keys a Los buckets de uso general de S3 deben estar cifrados en reposo a través de AWS KMS keys. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. | 
| 7 de marzo de 2024 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub admite ahora nodejs20.x y ruby3.3 como parámetros. | 
| 22 de febrero de 2024 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ahora admite dotnet8 como parámetro. | 
| 5 de febrero de 2024 | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)  | El CSPM de Security Hub actualizó la versión más antigua compatible de Kubernetes en la que un clúster de Amazon EKS se puede ejecutar para producir un resultado aprobado. La versión compatible más antigua actual es Kubernetes 1.25.  | 
| 10 de enero de 2024 | [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1)  | El título modificado del repositorio fuente de Bitbucket CodeBuild GitHub o el que se URLs debe usar OAuth al repositorio fuente de CodeBuild Bitbucket no debe contener credenciales confidenciales. URLs Security Hub CSPM eliminó la mención OAuth porque otros métodos de conexión también pueden ser seguros. CSPM eliminó la mención de Security Hub GitHub porque ya no es posible tener un token de acceso personal o un nombre de usuario y contraseña en el repositorio de GitHub origen. URLs | 
| 8 de enero de 2024 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ya no admite go1.x ni java8 como parámetros porque se trata de tiempos de ejecución retirados. | 
| 29 de diciembre de 2023 | [Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-8)  | RDS.8 comprueba si una instancia de base de datos de Amazon RDS que utiliza uno de los motores de bases de datos compatibles tiene habilitada la protección contra eliminaciones. El CSPM de Security Hub admite ahora custom-oracle-ee, oracle-ee-cdb y oracle-se2-cdb como motores de bases de datos. | 
| 22 de diciembre de 2023 | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub admite ahora java21 y python3.12 como parámetros. El CSPM de Security Hub dejó de admitir ruby2.7 como parámetro. | 
| 15 de diciembre de 2023 | [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)  | CloudFront.1 comprueba si una CloudFront distribución de Amazon tiene configurado un objeto raíz predeterminado. El CSPM de Security Hub redujo la gravedad de este control de CRÍTICA a ALTA porque agregar el objeto raíz predeterminado es una recomendación que depende de la aplicación del usuario y de sus requisitos específicos. | 
| 5 de diciembre de 2023  | [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13)  | Se ha cambiado el título del control de Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 al puerto 22 a Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22.  | 
| 5 de diciembre de 2023  | [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)  | Se ha cambiado el título del control de Asegúrese de que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389 a Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389.  | 
| 5 de diciembre de 2023  | [[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch](rds-controls.md#rds-9)  | Si se ha cambiado el título del control, el registro de bases de datos debe estar activado y las instancias de base de datos de RDS deben publicar los registros en los CloudWatch registros. Security Hub CSPM identificó que este control solo comprueba si los registros se publican en Amazon CloudWatch Logs y no comprueba si los registros de RDS están habilitados. El control determina si las instancias de PASSED base de datos de RDS están configuradas para publicar registros en Logs. CloudWatch El título del control se ha actualizado para reflejar el comportamiento actual.  | 
| 5 de diciembre de 2023 | [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8)  | Este control comprueba si los clústeres de Amazon EKS tienen habilitado el registro de auditoría. La AWS Config regla que utiliza Security Hub CSPM para evaluar este control cambió de eks-cluster-logging-enabled a. eks-cluster-log-enabled | 
| 17 de noviembre de 2023  | [[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo](ec2-controls.md#ec2-19)  | EC2.19 comprueba si el tráfico ilimitado entrante de un grupo de seguridad es accesible para los puertos especificados que se consideran de mayor riesgo. El CSPM de Security Hub actualizó este control para tener en cuenta las listas de prefijos administradas cuando se suministran como origen en una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”.  | 
| 16 de noviembre de 2023  | [[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas](cloudwatch-controls.md#cloudwatch-15)  | Al cambiar el título del control, CloudWatch las alarmas deberían tener una acción configurada para el estado de ALARMA y  CloudWatch las alarmas deberían tener configuradas las acciones especificadas.  | 
| 16 de noviembre de 2023  | [[CloudWatch.16] Los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico](cloudwatch-controls.md#cloudwatch-16)  | El título de control modificado, de grupos de CloudWatch registros, debe conservarse durante al menos 1 año, a grupos de CloudWatch registros, debe conservarse durante un período de tiempo específico.  | 
| 16 de noviembre de 2023  | [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5)  | Se ha cambiado el título de control de Las funciones de Lambda de la VPC deben funcionar en más de una zona de disponibilidad a Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad.  | 
| 16 de noviembre de 2023  | [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2)  | Se ha cambiado el título de control de AWS AppSync debe tener activado el registro a nivel de solicitud y a nivel de campo a AWS AppSync debe tener habilitado el registro a nivel de campo.  | 
| 16 de noviembre de 2023  | [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)  | Se cambió el título de control de los nodos maestros del MapReduce clúster de Amazon Elastic no deberían tener direcciones IP públicas a los nodos principales del clúster de Amazon EMR no deberían tener direcciones IP públicas.  | 
| 16 de noviembre de 2023  | [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)  | El título de control modificado de OpenSearch los dominios debería estar en una VPC a OpenSearchdominios que no deberían ser de acceso público.  | 
| 16 de noviembre de 2023  | [[ES.2] Los dominios de Elasticsearch no deben ser de acceso público](es-controls.md#es-2)  | Se ha cambiado el título de control de Los dominios de Elasticsearch deben estar en una VPC a Los dominios de Elasticsearch no deben ser de acceso público.  | 
| 31 de octubre de 2023  | [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)  | ES.4 comprueba si los dominios de Elasticsearch están configurados para enviar registros de errores a Amazon Logs. CloudWatch Anteriormente, el control PASSED encontró un dominio de Elasticsearch que tenía todos los registros configurados para enviarlos a Logs. CloudWatch Security Hub CSPM actualizó el control para producir una PASSED búsqueda solo para un dominio de Elasticsearch que esté configurado para enviar registros de errores a Logs. CloudWatch El control también se actualizó para excluir de la evaluación versiones de Elasticsearch que no admiten registros de errores.  | 
| 16 de octubre de 2023  | [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13)  | EC2.13 comprueba si los grupos de seguridad permiten el acceso de entrada sin restricciones al puerto 22. El CSPM de Security Hub actualizó este control para tener en cuenta las listas de prefijos administradas cuando se suministran como origen en una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”.  | 
| 16 de octubre de 2023  | [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)  | EC2.14 comprueba si los grupos de seguridad permiten el acceso de entrada sin restricciones al puerto 3389. El CSPM de Security Hub actualizó este control para tener en cuenta las listas de prefijos administradas cuando se suministran como origen en una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”.  | 
| 16 de octubre de 2023  | [[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados](ec2-controls.md#ec2-18)  | EC2.18 comprueba si los grupos de seguridad que se están utilizando permiten el acceso de tráfico ilimitado entrante. El CSPM de Security Hub actualizó este control para tener en cuenta las listas de prefijos administradas cuando se suministran como origen en una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”.  | 
| 16 de octubre de 2023  | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ahora admite python3.11 como parámetro.  | 
| 4 de octubre de 2023  | [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7)  | El CSPM de Security Hub agregó el parámetro ReplicationType con un valor CROSS-REGION para garantizar que los buckets de S3 tengan habilitada la replicación entre regiones en lugar de la replicación en la misma región.  | 
| 27 de septiembre de 2023  | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)  | El CSPM de Security Hub actualizó la versión más antigua compatible de Kubernetes en la que un clúster de Amazon EKS se puede ejecutar para producir un resultado aprobado. La versión compatible más antigua actual es Kubernetes 1.24.  | 
| 20 de septiembre de 2023  | [CloudFront.2] las CloudFront distribuciones deben tener habilitada la identidad de acceso de origen  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. En su lugar, consulte [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13). El control de acceso de Origin es la mejor práctica de seguridad actual. Este control se eliminará de la documentación en 90 días. | 
| 20 de septiembre de 2023  | [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)  | Security Hub CSPM eliminó este control de AWS Foundational Security Best Practices (FSBP) y del National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Sigue formando parte del estándar de gestión de servicios:. AWS Control Tower Este control de produce un resultado aprobado si los grupos de seguridad están conectados a instancias EC2 o a una interfaz de red elástica. Sin embargo, en algunos casos de uso, los grupos de seguridad independientes no representan un riesgo para la seguridad. Puede usar otros controles de EC2, como EC2.2, EC2.13, EC2.14, EC2.18 y EC2.19, para supervisar sus grupos de seguridad.  | 
| 20 de septiembre de 2023  | [EC2.29] Las instancias EC2 deben lanzarse en una VPC  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Amazon EC2 ha migrado las instancias EC2-Classic a una VPC. Este control se eliminará de la documentación en 90 días. | 
| 20 de septiembre de 2023  | [S3.4] Los buckets de S3 deben tener habilitado el cifrado del servidor  | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Amazon S3 ahora ofrece cifrado predeterminado con claves administradas de S3 (SS3-S3) en buckets S3 nuevos y existentes. La configuración de cifrado no ha cambiado para los buckets existentes que se cifran con el cifrado SS3 -S3 o SS3 -KMS del lado del servidor. Este control se eliminará de la documentación en 90 días.  | 
| 14 de septiembre de 2023  | [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2)  | Se cambió el título de control de El grupo de seguridad predeterminado de VPC no debe permitir el tráfico entrante ni saliente a Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente.  | 
| 14 de septiembre de 2023  | [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)  | Se cambió el título de control de La MFA virtual debe estar habilitada para el usuario raíz a La MFA debe estar habilitada para el usuario raíz.  | 
|  14 de septiembre de 2023  | [Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos](rds-controls.md#rds-19)  | Se cambió el título de control de Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos de clúster críticos a Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos de clúster críticos.  | 
| 14 de septiembre de 2023  | [Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos](rds-controls.md#rds-20)  | Se cambió el título de control de Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de instancias de bases de datos a Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos de instancias de bases de datos.  | 
| 14 de septiembre de 2023  | [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2)  | Se cambió el título de control de Una regla regional de WAF debe tener al menos una condición a Las reglas regionales de AWS WAF Classic deben tener al menos una condición.  | 
| 14 de septiembre de 2023  | [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)  | Se cambió el título de control de Un grupo de reglas regionales de WAF debe tener al menos una regla a Los grupos de reglas regionales de AWS WAF Classic deben tener al menos una regla.  | 
| 14 de septiembre de 2023  | [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4)  | Se ha cambiado el título del control: Una ACL web regional de WAF debe tener al menos una regla o grupo de reglas a una web regional AWS WAF clásica, ACLs debe tener al menos una regla o grupo de reglas.  | 
| 14 de septiembre de 2023  | [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)  | Se cambió el título de control de Una regla global de WAF debe tener al menos una condición a Las reglas globales de AWS WAF Classic deben tener al menos una condición.  | 
| 14 de septiembre de 2023  | [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)  | Se cambió el título de control de Un grupo de reglas globales de WAF debe tener al menos una regla a Los grupos de reglas globales de AWS WAF Classic deben tener al menos una regla.  | 
| 14 de septiembre de 2023  | [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)  | Se ha cambiado el título del control de una ACL web global de WAF que debe tener al menos una regla o grupo de reglas a una web global AWS WAF clásica que ACLs debe tener al menos una regla o grupo de reglas.  | 
| 14 de septiembre de 2023  | [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)  | El título de control cambiado de una ACL WAFv2 web debe tener al menos una regla o grupo de reglas a AWS WAF web ACLs debe tener al menos una regla o grupo de reglas.  | 
| 14 de septiembre de 2023  | [[WAF.11] El registro de ACL AWS WAF web debe estar habilitado](waf-controls.md#waf-11)  | Se cambió el título de control de El registro de la ACL web de AWS WAF v2 debe estar activado a El registro de la ACL web de AWS WAF debe estar habilitado.  | 
|  20 de julio de 2023  | [S3.4] Los buckets de S3 deben tener habilitado el cifrado del servidor  | S3.4 comprueba si el bucket de Amazon S3 tiene habilitado el cifrado del lado del servidor o que la política de bucket de S3 deniega explícitamente las solicitudes PutObject sin cifrado del lado del servidor. El CSPM de Security Hub actualizó este control para incluir el cifrado de doble capa del lado del servidor con claves de KMS (DSSE-KMS). El control genera un resultado aprobado cuando un bucket de S3 está cifrado con SSE-S3, SSE-KMS o DSSE-KMS.  | 
| 17 de julio de 2023  | [[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys](s3-controls.md#s3-17)  | S3.17 comprueba si un bucket de Amazon S3 está cifrado con un AWS KMS key. El CSPM de Security Hub actualizó este control para incluir el cifrado de doble capa del lado del servidor con claves de KMS (DSSE-KMS). El control genera un resultado aprobado cuando un bucket de S3 está cifrado con SSE-KMS o DSSE-KMS.  | 
| 9 de junio de 2023  | [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)  | EKS.2 comprueba si un clúster de Amazon EKS se está ejecutando en una versión compatible de Kubernetes. La versión compatible más antigua es ahora 1.23.  | 
| 9 de junio de 2023  | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ahora admite ruby3.2 como parámetro.  | 
| 5 de junio de 2023  | [[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo](apigateway-controls.md#apigateway-5)  | APIGateway.5. Comprueba si todos los métodos de las etapas de la API REST de Amazon API Gateway están cifrados en reposo. El CSPM de Security Hub actualizó el control para evaluar el cifrado de un método específico únicamente cuando el almacenamiento en caché está habilitado para ese método.  | 
| 18 de mayo de 2023  | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ahora admite java17 como parámetro.  | 
| 18 de mayo de 2023  | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub dejó de admitir nodejs12.x como parámetro.  | 
| 23 de abril de 2023  | [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10)  | ECS.10 comprueba si los servicios Fargate de Amazon ECS ejecutan la versión de la plataforma Fargate más reciente. Los clientes pueden implementar Amazon ECS a través de ECS directamente o mediante CodeDeploy. Security Hub CSPM actualizó este control para generar resultados aprobados cuando se utilizan CodeDeploy para implementar los servicios Fargate de ECS.  | 
| 20 de abril de 2023  | [[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS](s3-controls.md#s3-6)  | El S3.6 comprueba si una política de bucket de Amazon Simple Storage Service (Amazon S3) impide que los directores de Cuentas de AWS otras entidades realicen acciones denegadas en los recursos del bucket de S3. El CSPM de Security Hub actualizó el control para tener en cuenta los condicionales de una política de bucket.  | 
| 18 de abril de 2023  | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub ahora admite python3.10 como parámetro. | 
| 18 de abril de 2023  | [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)  | Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El CSPM de Security Hub dejó de admitir dotnetcore3.1 como parámetro. | 
| 17 de abril de 2023  | [Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas](rds-controls.md#rds-11)  | RDS.11 comprueba si las instancias de Amazon RDS tienen habilitadas las copias de seguridad automáticas, con un periodo de retención de las copias de seguridad superior o igual a siete días. El CSPM de Security Hub actualizó este control para excluir las réplicas de lectura de la evaluación, ya que no todos los motores admiten copias de seguridad automatizadas en las réplicas de lectura. Además, RDS no ofrece la opción de especificar un periodo de retención de las copias de seguridad al crear réplicas de lectura. Las réplicas de lectura se crean con un periodo de retención predeterminado de la copia de seguridad de 0.  | 

# Controles CSPM de Security Hub para Cuentas de AWS
<a name="account-controls"></a>

Estos controles CSPM de Security Hub evalúan. Cuentas de AWS

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
<a name="account-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.2, NISt.800-53.r5 CM-2, NISt.800-53.r5 CM-2 (2)

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html](https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si una cuenta de Amazon Web Services (AWS) tiene información de contacto de seguridad. El control falla si no se proporciona la información de contacto de seguridad de la cuenta.

Los contactos de AWS seguridad alternativos te permiten ponerte en contacto con otra persona en caso de que tengas problemas con tu cuenta en caso de que no estés disponible. Las notificaciones pueden provenir de Soporte otros equipos o de otros Servicio de AWS equipos sobre temas relacionados con la seguridad relacionados con tu Cuenta de AWS uso.

### Corrección
<a name="account-1-remediation"></a>

Para añadir un contacto alternativo como contacto de seguridad al tuyo Cuenta de AWS, consulta [Actualizar tus contactos alternativos Cuenta de AWS en la Guía](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) de *referencia de administración de AWS cuentas*.

## [Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
<a name="account-2"></a>

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si una Cuenta de AWS forma parte de una organización gestionada a través de ella. AWS Organizations El control falla si la cuenta no forma parte de una organización.

Organizations le ayuda a administrar su entorno de forma centralizada a medida que amplía sus cargas de trabajo. AWS Puede usar varias Cuentas de AWS para aislar las cargas de trabajo que tienen requisitos de seguridad específicos o para cumplir con marcos como la HIPAA o la PCI. Al crear una organización, puede administrar varias cuentas como una sola unidad y administrar de forma centralizada su acceso a Servicios de AWS los recursos y las regiones.

### Corrección
<a name="account-2-remediation"></a>

Para crear una nueva organización y Cuentas de AWS añadirla automáticamente, consulte [Creación de una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) en la *Guía del AWS Organizations usuario*. Para añadir cuentas a una organización existente, consulte [Invitar a un usuario Cuenta de AWS a unirse a su organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) en la *Guía del AWS Organizations usuario*.

# Controles CSPM de Security Hub para AWS Amplify
<a name="amplify-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS Amplify servicio y los recursos. Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
<a name="amplify-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Amplify::App`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si una AWS Amplify aplicación tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si la aplicación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si la aplicación no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="amplify-1-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a una AWS Amplify aplicación, consulta la [compatibilidad con el etiquetado de recursos](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) en la *Guía del usuario de AWS Amplify hosting*.

## [Amplify.2] Las ramas de Amplify deben estar etiquetadas
<a name="amplify-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Amplify::Branch`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si una AWS Amplify rama tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si la rama no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si la rama no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="amplify-2-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a una AWS Amplify sucursal, consulta la [compatibilidad con el etiquetado de recursos](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) en la *Guía del usuario de AWS Amplify hosting*.

# Controles de CSPM de Security Hub para Amazon API Gateway
<a name="apigateway-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon API Gateway. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado
<a name="apigateway-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, niST.800-53.r5 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `loggingLevel`  |  Nivel de registro  |  Enum  |  `ERROR`, `INFO`  |  `No default value`  | 

Este control comprueba si todas las etapas de un REST o API de Amazon WebSocket API Gateway tienen habilitado el registro. Se produce un error en el control si `loggingLevel` no figura como `ERROR` o `INFO` en todas las etapas de la API. A menos que proporcione valores de parámetros personalizados para indicar que se debe habilitar un tipo de registro específico, Security Hub CSPM produce una conclusión válida si el nivel de registro es o`ERROR`. `INFO`

Las etapas REST o WebSocket API de API Gateway deben tener habilitados los registros relevantes. El registro de ejecución de WebSocket API y REST de API Gateway proporciona registros detallados de las solicitudes realizadas a las etapas REST y WebSocket API de API Gateway. Las etapas incluyen las respuestas de backend de integración de API, las respuestas del autorizador de Lambda y las de `requestId` los AWS puntos finales de integración.

### Corrección
<a name="apigateway-1-remediation"></a>

Para habilitar el registro de las operaciones de WebSocket REST y API, consulte [Configurar el registro de CloudWatch API mediante la consola de API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) en la *Guía para desarrolladores de API Gateway*.

## [APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end
<a name="apigateway-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIst.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIst.800-171.r2 3.13.15

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ApiGateway::Stage`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las etapas de la API de REST de Amazon API Gateway tienen certificados SSL configurados. Los sistemas de backend utilizan estos certificados para autenticar que las solicitudes entrantes provienen de API Gateway.

Las etapas de la API de REST de API Gateway deben configurarse con certificados SSL para permitir que los sistemas de backend autentiquen que las solicitudes se originan en API Gateway.

### Corrección
<a name="apigateway-2-remediation"></a>

Para obtener instrucciones detalladas sobre cómo generar y configurar los certificados SSL de la API de REST de API Gateway, consulte [Generar y configurar un certificado SSL para la autenticación de backend](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html) en la *Guía para desarrolladores de API Gateway*.

## [APIGateway.3] Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado
<a name="apigateway-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::ApiGateway::Stage`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el rastreo AWS X-Ray activo está habilitado para las etapas de la API REST de Amazon API Gateway.

El rastreo activo de X-Ray permite una respuesta más rápida a los cambios de rendimiento en la infraestructura subyacente. Los cambios en el rendimiento podrían provocar una falta de disponibilidad de la API. El rastreo activo de X-Ray proporciona métricas en tiempo real de las solicitudes de los usuarios que fluyen a través de las operaciones de la API de REST y los servicios conectados de API Gateway.

### Corrección
<a name="apigateway-3-remediation"></a>

Para obtener instrucciones detalladas sobre cómo habilitar el rastreo activo de X-Ray para las operaciones de la API de REST de API Gateway, consulte la [Compatibilidad con el rastreo activo de Amazon API Gateway para AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html) en la *Guía para desarrolladores de AWS X-Ray *. 

## [APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF
<a name="apigateway-4"></a>

**Requisitos relacionados: NIST.800-53.r5 AC-4 (21**)

**Categoría**: Proteger > Servicios de protección

**Gravedad:** media

**Tipo de recurso:** `AWS::ApiGateway::Stage`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una etapa de API Gateway utiliza una lista de control de acceso (ACL) AWS WAF web. Este control falla si una ACL AWS WAF web no está conectada a una etapa REST API Gateway.

AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web contra APIs los ataques. Le permite configurar una web ACL, que son un conjunto de reglas que permiten, bloquean o cuentan solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Asegúrese de que la etapa de API Gateway esté asociada a una ACL AWS WAF web para ayudar a protegerla de ataques maliciosos.

### Corrección
<a name="apigateway-4-remediation"></a>

Para obtener información sobre cómo usar la consola de API Gateway para asociar una ACL web AWS WAF regional a una etapa de API de API Gateway existente, consulte [Using AWS WAF to protect your APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) en la *Guía para desarrolladores de API Gateway*.

## [APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo
<a name="apigateway-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoría:** Proteger - Protección de datos - Cifrado de datos en reposo

**Gravedad:** media

**Tipo de recurso:** `AWS::ApiGateway::Stage`

**AWS Config regla:** `api-gw-cache-encrypted` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si todos los métodos de las etapas de la API de REST de API Gateway que tienen la caché habilitada están cifrados. El control falla si algún método de una etapa de API de REST de API Gateway está configurado para almacenar en caché y la caché no está cifrada. Security Hub CSPM evalúa el cifrado de un método en particular solo cuando el almacenamiento en caché está habilitado para ese método.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. AWS Añade otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que puedan leerse.

Las cachés de la API de REST de API Gateway deben cifrarse en reposo para ofrecer una capa de seguridad adicional.

### Corrección
<a name="apigateway-5-remediation"></a>

Para configurar el almacenamiento en caché de API para una etapa, consulte [Habilitar el almacenamiento en caché de Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching) en la *Guía para desarrolladores de API Gateway*. En **Configuración de caché**, seleccione **Cifrar datos de caché.**

## [APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
<a name="apigateway-8"></a>

**Requisitos relacionados:** NIst.800-53.r5 CM-2 NIST.800-53.r5 AC-3, NIst.800-53.r5 CM-2 (2)

**Categoría:** Proteger > Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::ApiGatewayV2::Route`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `authorizationType`  |  Tipo de autorización de las rutas de API  |  Enum  |  `AWS_IAM`, `CUSTOM`, `JWT`  |  Sin valor predeterminado  | 

Este control comprueba si las rutas de Amazon API Gateway tienen un tipo de autorización. Se produce un error en el control si la ruta de API Gateway no tiene ningún tipo de autorización. También, puede proporcionar un valor personalizado de parámetro si quiere que el control pase únicamente si la ruta utiliza el tipo de autorización especificado en el parámetro `authorizationType`.

API Gateway admite varios mecanismos para controlar y administrar el acceso a la API. Al especificar un tipo de autorización, puede restringir el acceso a tu API solo a los usuarios o procesos autorizados.

### Corrección
<a name="apigateway-8-remediation"></a>

Para configurar un tipo de autorización para HTTP APIs, consulte [Control y administración del acceso a una API HTTP en API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html) en la *Guía para desarrolladores de API Gateway*. Para configurar un tipo de autorización WebSocket APIs, consulte [Control y administración del acceso a una WebSocket API en API Gateway en](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html) la *Guía para desarrolladores de API Gateway*.

## [APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
<a name="apigateway-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::ApiGatewayV2::Stage`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las etapas de Amazon API Gateway V2 tienen configurado el registro de acceso. Este control falla si no se ha definido la configuración del registro de acceso.

Los registros de acceso a API Gateway proporcionan información detallada sobre quién ha obtenido acceso a la API y cómo la persona que llama ha obtenido acceso a la API. Estos registros son útiles para aplicaciones como las auditorías de seguridad y acceso y la investigación forense. Habilite estos registros de acceso para analizar los patrones de tráfico y solucionar problemas.

Para obtener más información sobre las prácticas recomendadas, consulte [Supervisión de REST APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html) en la *Guía para desarrolladores de API Gateway*.

### Corrección
<a name="apigateway-9-remediation"></a>

Para configurar el registro de acceso, consulte [Configurar el registro de CloudWatch API mediante la consola de API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) en la *Guía para desarrolladores de API Gateway*. 

## [APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas
<a name="apigateway-10"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ApiGatewayV2::Integration`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una integración de API Gateway V2 tiene HTTPS habilitado para las conexiones privadas. El control falla si una conexión privada no tiene TLS configurado.

Los enlaces de VPC conectan API Gateway con recursos privados. Si bien los enlaces de VPC crean conectividad privada, no cifran los datos de forma inherente. La configuración de TLS garantiza el uso de HTTPS para el end-to-end cifrado desde el cliente a través de API Gateway hasta el backend. Sin TLS, el tráfico confidencial de la API fluye sin cifrar a través de las conexiones privadas. El cifrado HTTPS protege el tráfico a través de conexiones privadas contra la interceptación de datos, los man-in-the-middle ataques y la exposición de credenciales. 

### Corrección
<a name="apigateway-10-remediation"></a>

Para habilitar el cifrado en tránsito para las conexiones privadas en una integración de API Gateway v2, consulte [Actualizar una integración privada](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update) en la *Guía para desarrolladores de Amazon API Gateway*. Configure la [configuración de TLS](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig) para que la integración privada utilice el protocolo HTTPS.

# Controles CSPM de Security Hub para AWS AppConfig
<a name="appconfig-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS AppConfig servicio y los recursos.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
<a name="appconfig-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppConfig::Application`

**Regla de AWS Config : ** `appconfig-application-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una AWS AppConfig aplicación tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la aplicación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la aplicación no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="appconfig-1-remediation"></a>

Para añadir etiquetas a una AWS AppConfig aplicación, consulte la referencia [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)de la *AWS AppConfig API*.

## [AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
<a name="appconfig-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppConfig::ConfigurationProfile`

**Regla de AWS Config : ** `appconfig-configuration-profile-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un perfil de AWS AppConfig configuración tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el perfil de configuración no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el perfil de configuración no tiene ninguna clave de etiqueta. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="appconfig-2-remediation"></a>

Para añadir etiquetas a un perfil AWS AppConfig de configuración, consulte la referencia [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)de la *AWS AppConfig API*.

## [AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
<a name="appconfig-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppConfig::Environment`

**Regla de AWS Config : ** `appconfig-environment-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un AWS AppConfig entorno tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el entorno no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el entorno no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="appconfig-3-remediation"></a>

Para añadir etiquetas a un AWS AppConfig entorno, consulta la referencia [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)de la *AWS AppConfig API*.

## [AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas
<a name="appconfig-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppConfig::ExtensionAssociation`

**Regla de AWS Config : ** `appconfig-extension-association-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una asociación de AWS AppConfig extensiones tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la asociación de extensión no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si la asociación de extensión no tiene ninguna clave de etiqueta. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="appconfig-4-remediation"></a>

Para añadir etiquetas a una asociación de AWS AppConfig extensiones, consulta la referencia [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)de la *AWS AppConfig API*.

# Controles CSPM de Security Hub para Amazon AppFlow
<a name="appflow-controls"></a>

Estos controles CSPM de Security Hub evalúan el AppFlow servicio y los recursos de Amazon.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
<a name="appflow-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppFlow::Flow`

**Regla de AWS Config : ** `appflow-flow-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un AppFlow flujo de Amazon tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el flujo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el flujo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="appflow-1-remediation"></a>

Para añadir etiquetas a un AppFlow flujo de Amazon, consulta [Crear flujos en Amazon AppFlow en](https://docs.aws.amazon.com/appflow/latest/userguide/flows-manage.html) la *Guía del AppFlow usuario de Amazon*.

# Controles CSPM de Security Hub para AWS App Runner
<a name="apprunner-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS App Runner servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [AppRunner.1] Los servicios de App Runner deben estar etiquetados
<a name="apprunner-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppRunner::Service`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un AWS App Runner servicio tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el servicio de App Runner no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el servicio de App Runner no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="apprunner-1-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a un AWS App Runner servicio, consulta la referencia [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)de la *AWS App Runner API*.

## [AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
<a name="apprunner-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppRunner::VpcConnector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un conector de AWS App Runner VPC tiene etiquetas con las claves específicas definidas en el parámetro. `requiredKeyTags` El control falla si el conector de VPC no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el conector de VPC no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="apprunner-2-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a un conector de AWS App Runner VPC, consulte la referencia [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)de la *AWS App Runner API*.

# Controles CSPM de Security Hub para AWS AppSync
<a name="appsync-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS AppSync servicio y los recursos.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
<a name="appsync-1"></a>

**importante**  
Security Hub CSPM retiró este control el 9 de marzo de 2026. Para obtener más información, consulte. [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md) AWS AppSync ahora proporciona cifrado predeterminado en todas las cachés de API actuales y futuras.

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::AppSync::GraphQLApi`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la caché de una AWS AppSync API está cifrada en reposo. El control falla si la caché de la API no está cifrada en reposo.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="appsync-1-remediation"></a>

No puedes cambiar la configuración de cifrado después de habilitar el almacenamiento en caché para tu AWS AppSync API. En su lugar, debe eliminar la caché y volver a crearla con el cifrado habilitado. Para obtener más información, consulte [Cifrado de caché](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption), en la *Guía para desarrolladores de AWS AppSync *.

## [AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
<a name="appsync-2"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::AppSync::GraphQLApi`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** 


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `fieldLoggingLevel`  |  Nivel de registro del campo  |  Enum  |  `ERROR`, `ALL`, `INFO`, `DEBUG`  |  `No default value`  | 

Este control comprueba si una AWS AppSync API tiene activado el registro a nivel de campo. Se produce un error en el control si el nivel de registro del solucionador de campos está establecido en **Ninguno**. A menos que proporcione valores de parámetros personalizados para indicar que se debe habilitar un tipo de registro específico, el CSPM de Security Hub produce una conclusión válida si el nivel de registro del solucionador de campos es o`ERROR`. `ALL`

Puede utilizar el registro y las métricas para identificar, solucionar problemas y optimizar sus consultas de GraphQL. Activar el registro en AWS AppSync GraphQL te ayuda a obtener información detallada sobre las solicitudes y respuestas de la API, a identificar y responder a los problemas y a cumplir con los requisitos reglamentarios.

### Corrección
<a name="appsync-2-remediation"></a>

Para activar el registro AWS AppSync, consulta [Instalación y configuración](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration) en la *Guía para AWS AppSync desarrolladores*.

## [AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado
<a name="appsync-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AppSync::GraphQLApi`

**AWS Config regla:** `tagged-appsync-graphqlapi` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una API de AWS AppSync GraphQL tiene etiquetas con las claves específicas definidas en el parámetro. `requiredTagKeys` El control falla si la API de GraphQL no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la API de GraphQL no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="appsync-4-remediation"></a>

Para añadir etiquetas a una API de AWS AppSync GraphQL, consulta la referencia [https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)de la *AWS AppSync API*.

## [AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API
<a name="appsync-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** alta

**Tipo de recurso:** `AWS::AppSync::GraphQLApi`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `AllowedAuthorizationTypes`: ` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS` (no personalizable)

Este control comprueba si la aplicación utiliza una clave de API para interactuar con una API de AWS AppSync GraphQL. El control falla si una API de AWS AppSync GraphQL se autentica con una clave de API.

Una clave de API es un valor codificado en tu aplicación que genera el AWS AppSync servicio al crear un punto final de GraphQL no autenticado. Si esta clave de API se ve comprometida, su punto de conexión es vulnerable a un acceso no deseado. A menos que respalde una aplicación o un sitio web de acceso público, no recomendamos usar una clave de API para la autenticación.

### Corrección
<a name="appsync-5-remediation"></a>

Para configurar una opción de autorización para tu API de AWS AppSync GraphQL, consulta [Autorización y autenticación](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html) en la Guía para *AWS AppSync desarrolladores*.

## [AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
<a name="appsync-6"></a>

**importante**  
Security Hub CSPM retiró este control el 9 de marzo de 2026. Para obtener más información, consulte. [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md) AWS AppSync ahora proporciona cifrado predeterminado en todas las cachés de API actuales y futuras.

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::AppSync::ApiCache`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la caché de una AWS AppSync API está cifrada en tránsito. El control falla si la caché de la API no está cifrada en tránsito.

Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.

### Corrección
<a name="appsync-6-remediation"></a>

No puedes cambiar la configuración de cifrado después de habilitar el almacenamiento en caché para tu AWS AppSync API. En su lugar, debe eliminar la caché y volver a crearla con el cifrado habilitado. Para obtener más información, consulte [Cifrado de caché](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption), en la *Guía para desarrolladores de AWS AppSync *.

# Controles CSPM de Security Hub para Amazon Athena
<a name="athena-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Athena. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Athena.1] Los grupos de trabajo de Athena deben estar cifrados en reposo
<a name="athena-1"></a>

**importante**  
Security Hub CSPM retiró este control en abril de 2024. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).

**Categoría:** Proteger - Protección de datos - Cifrado de datos en reposo

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NISt.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)

**Gravedad:** media

**Tipo de recurso:** `AWS::Athena::WorkGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de trabajo de Athena está cifrado en reposo. El control falla si un grupo de trabajo de Athena no está cifrado en reposo.

En Athena, puede crear grupos de trabajo para ejecutar consultas para equipos, aplicaciones o diferentes cargas de trabajo. Cada grupo de trabajo tiene una configuración que permite el cifrado de todas las consultas. Tiene la opción de utilizar el cifrado del lado del servidor con las claves administradas por Amazon Simple Storage Service (Amazon S3), el cifrado del lado del servidor con claves AWS Key Management Service (AWS KMS) o el cifrado del lado del cliente con claves de KMS administradas por el cliente. Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="athena-1-remediation"></a>

Para habilitar el cifrado en reposo para los grupos de trabajo de Athena, consulte [Editar un grupo de trabajo](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups) en la *Guía del usuario de Amazon Athena*. En la sección **Configuración de los resultados de la consulta**, seleccione **Cifrar los resultados de la consulta**.

## [Athena.2] Los catálogos de datos de Athena deben estar etiquetados
<a name="athena-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Athena::DataCatalog`

**AWS Config regla:** `tagged-athena-datacatalog` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si el catálogo de datos de Amazon Athena tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el catálogo de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el catálogo de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="athena-2-remediation"></a>

Para agregar etiquetas a un catálogo de datos de Athena, consulte [Etiquetado de los recursos de Athena](https://docs.aws.amazon.com/athena/latest/ug/tags.html) en la *Guía del usuario de Amazon Athena*.

## [Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
<a name="athena-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Athena::WorkGroup`

**AWS Config regla:** `tagged-athena-workgroup` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si el grupo de trabajo de Amazon Athena tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el grupo de trabajo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de trabajo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="athena-3-remediation"></a>

Para agregar etiquetas a un grupo de trabajo de Athena, consulte [Agregar y eliminar etiquetas en un grupo de trabajo individual](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete) en la *Guía del usuario de Amazon Athena*.

## [Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
<a name="athena-4"></a>

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::Athena::WorkGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de trabajo de Amazon Athena tiene el registro habilitado. El control falla si el grupo de trabajo no tiene el registro habilitado.

Los registros de auditoría rastrean y supervisan las actividades del sistema. Proporcionan un registro de los eventos que puede ayudarlo a detectar brechas de seguridad, investigar incidentes y cumplir con las normativas. Los registros de auditoría también mejoran la responsabilidad y la transparencia generales de su organización.

### Corrección
<a name="athena-4-remediation"></a>

*Para obtener información sobre cómo habilitar el registro para un grupo de trabajo de Athena, consulte [Habilitar las métricas de CloudWatch consulta en Athena en la Guía del usuario](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html) de Amazon Athena.*

# Controles CSPM de Security Hub para AWS Backup
<a name="backup-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS Backup servicio y los recursos.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
<a name="backup-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-9(8), NIST.800-53.r5 SI-12

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::Backup::RecoveryPoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un punto AWS Backup de recuperación está cifrado en reposo. Se produce un error en el control si el punto de recuperación no está cifrado en reposo.

Un punto de AWS Backup recuperación hace referencia a una copia o instantánea específica de los datos que se crea como parte de un proceso de copia de seguridad. Representa un momento concreto en el que se hizo una copia de seguridad de los datos y sirve como punto de restauración en caso de que los datos originales se pierdan, se dañen o sean inaccesibles. El cifrado de los puntos de recuperación de la copia de seguridad agrega una capa adicional de protección contra el acceso no autorizado. El cifrado es la práctica recomendada para proteger la confidencialidad, la integridad y la seguridad de los datos de la copia de seguridad.

### Corrección
<a name="backup-1-remediation"></a>

Para cifrar un punto de AWS Backup recuperación, consulte [Cifrado de copias de seguridad AWS Backup en la Guía para AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html) *desarrolladores*.

## [Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados
<a name="backup-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Backup::RecoveryPoint`

**AWS Config regla:** `tagged-backup-recoverypoint` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un punto de AWS Backup recuperación tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el punto de recuperación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el punto de recuperación no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="backup-2-remediation"></a>

**Para añadir etiquetas a un punto de recuperación AWS Backup**

1. Abra la AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. En el panel de navegación, seleccione **Backup plans (Planes de copias de seguridad)**.

1. Seleccione un plan de copias de seguridad de la lista.

1. En la sección **Etiquetas del plan de copias de seguridad**, elija **Administrar etiquetas**.

1. Escriba la clave y el valor de para la etiqueta. Seleccione **Agregar etiqueta nueva** para agregar pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

## [Backup.3] las AWS Backup bóvedas deben estar etiquetadas
<a name="backup-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Backup::BackupVault`

**AWS Config regla:** `tagged-backup-backupvault` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una AWS Backup bóveda tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el punto de recuperación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el punto de recuperación no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="backup-3-remediation"></a>

**Para añadir etiquetas a un almacén AWS Backup**

1. Abra la AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. En el panel de navegación, elija **Backup vaults (Almacenes de copia de seguridad)**.

1. Seleccione un almacén de copias de seguridad de la lista.

1. En la sección **Etiquetas del almacén de copias de seguridad**, elija **Administrar etiquetas**.

1. Escriba la clave y el valor de para la etiqueta. Seleccione **Agregar etiqueta nueva** para agregar pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

## Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
<a name="backup-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Backup::ReportPlan`

**AWS Config regla:** `tagged-backup-reportplan` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un plan de AWS Backup informes tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el plan de informes no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el plan de informes no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="backup-4-remediation"></a>

**Para añadir etiquetas a un plan de informes AWS Backup**

1. Abra la AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. En el panel de navegación, elija **Backup vaults (Almacenes de copia de seguridad)**.

1. Seleccione un almacén de copias de seguridad de la lista.

1. En la sección **Etiquetas del almacén de copias de seguridad**, elija **Administrar etiquetas**.

1. Elija **Añadir nueva etiqueta**. Escriba la clave y el valor de para la etiqueta. Repita la acción para pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

## [Backup.5] los planes de AWS Backup respaldo deben estar etiquetados
<a name="backup-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Backup::BackupPlan`

**AWS Config regla:** `tagged-backup-backupplan` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un plan AWS Backup de respaldo tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el plan de copias de seguridad no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el plan de copias de seguridad no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="backup-5-remediation"></a>

**Para añadir etiquetas a un plan de respaldo AWS Backup**

1. Abra la AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. En el panel de navegación, elija **Backup vaults (Almacenes de copia de seguridad)**.

1. Seleccione un almacén de copias de seguridad de la lista.

1. En la sección **Etiquetas del almacén de copias de seguridad**, elija **Administrar etiquetas**.

1. Elija **Añadir nueva etiqueta**. Escriba la clave y el valor de para la etiqueta. Repita la acción para pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

# Controles CSPM de Security Hub para AWS Batch
<a name="batch-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS Batch servicio y los recursos. Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
<a name="batch-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Batch::JobQueue`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una cola de AWS Batch trabajos tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la cola de trabajo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la cola de trabajo no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="batch-1-remediation"></a>

Para agregar etiquetas a una cola de trabajos de Batch, consulte [Etiquetar los recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) en la *Guía del usuario de AWS Batch *.

## [Batch.2] Las políticas de programación de Batch deben estar etiquetadas
<a name="batch-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Batch::SchedulingPolicy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una política de AWS Batch programación tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control lanza un error si la política de programación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la política de programación no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="batch-2-remediation"></a>

Para agregar etiquetas a una política de programación de Batch, consulte [Etiquetado de los recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) en la *Guía del usuario de AWS Batch *.

## [Batch.3] Los entornos de computación de Batch deben estar etiquetados
<a name="batch-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Batch::ComputeEnvironment`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un entorno AWS Batch informático tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el entorno de computación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el entorno de computación no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="batch-3-remediation"></a>

Para agregar etiquetas a un entorno de computación de Batch, consulte [Etiquetado de los recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) en la *Guía del usuario de AWS Batch *.

## [Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.
<a name="batch-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Batch::ComputeEnvironment`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si la propiedad de recursos de computación en un entorno de computación administrado de AWS Batch tiene las claves de etiqueta especificadas por el parámetro `requiredKeyTags`. El control falla si la propiedad recursos de computación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si la propiedad de recursos de computación no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`. Este control no evalúa los entornos informáticos no gestionados ni los entornos gestionados que utilizan AWS Fargate recursos.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="batch-4-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a los recursos informáticos en un entorno AWS Batch informático gestionado, [consulte Etiquetar los recursos](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) en la *Guía del AWS Batch usuario*.

# Controles CSPM de Security Hub para AWS Certificate Manager
<a name="acm-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos AWS Certificate Manager (ACM). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico
<a name="acm-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), niST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ACM::Certificate`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)

**Tipo de programa:** activado por cambios y periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `daysToExpiration`  |  Número de días en los que se debe renovar el certificado de ACM  |  Entero  |  De `14` a `365`  |  `30`  | 

Este control comprueba si un certificado AWS Certificate Manager (ACM) se renueva dentro del período de tiempo especificado. Comprueba tanto los certificados importados como los certificados que proporciona ACM. Se produce un error en el control si el certificado no se renueva en el periodo especificado. A menos que proporciones un valor de parámetro personalizado para el período de renovación, Security Hub CSPM utiliza un valor predeterminado de 30 días.

ACM puede renovar automáticamente los certificados que utilizan la validación de DNS. En el caso de los certificados que utilizan la validación por correo electrónico, debe responder a un correo electrónico de validación de dominio. ACM no renueva automáticamente los certificados que se importan. Debe renovar los certificados importados manualmente.

### Corrección
<a name="acm-1-remediation"></a>

ACM ofrece la renovación gestionada de sus SSL/TLS certificados emitidos por Amazon. Esto significa que ACM renueva sus certificados de forma automática (si utiliza la validación por DNS) o le envía avisos por correo electrónico cuando se acerque la fecha de vencimiento. Estos servicios se prestan tanto para certificados de ACM públicos como privados.

**Para dominios validados por correo electrónico**  
Cuando un certificado expira 45 días, ACM envía al propietario del dominio un correo electrónico para cada nombre de dominio. Para validar los dominios y completar la renovación, debe responder a las notificaciones por correo electrónico.  
Para obtener más información, consulte [Renovación de dominios validados por correo electrónico](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html) en la *Guía del usuario de AWS Certificate Manager *.

**Para dominios validados por DNS**  
ACM renueva automáticamente los certificados que utilizan la validación de DNS. 60 días antes del vencimiento, ACM verifica que el certificado se pueda renovar.  
Si no puede validar un nombre de dominio, ACM envía una notificación indicando que es necesaria la validación manual. Envía estas notificaciones 45 días, 30 días, 7 días y 1 día antes de la fecha de vencimiento.  
Para obtener más información, consulte [Renovación de dominios validados por DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) en la *AWS Certificate Manager Guía del usuario de *. 

## [ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits
<a name="acm-2"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/4.2.1

**Categoría:** Identificar > Inventario > Servicios de inventario

**Gravedad:** alta

**Tipo de recurso:** `AWS::ACM::Certificate`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los certificados RSA gestionados AWS Certificate Manager utilizan una longitud de clave de al menos 2048 bits. El control falla si la longitud de la clave es inferior a 2048 bits.

La fuerza del cifrado se correlaciona directamente con el tamaño de la clave. Recomendamos una longitud de clave de al menos 2048 bits para proteger sus AWS recursos, ya que la potencia de cálculo se abarata y los servidores se vuelven más avanzados.

### Corrección
<a name="acm-2-remediation"></a>

La longitud mínima de clave para los certificados RSA emitidos por ACM ya es de 2048 bits. Para obtener instrucciones sobre cómo emitir nuevos certificados RSA con ACM, consulte [Emisión y administración de certificados](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) en la *Guía del usuario de AWS Certificate Manager *.

Si bien ACM le permite importar certificados con longitudes de clave más cortas, debe utilizar claves de al menos 2048 bits para pasar este control. No se puede cambiar la longitud de la clave después de importar un certificado. En su lugar, debe eliminar los certificados con una longitud de clave inferior a 2048 bits. Para obtener más información sobre la importación de certificados en ACM, consulte [Prerrequisitos para importar certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html) en la *Guía del usuario de AWS Certificate Manager *.

## [ACM.3] Los certificados ACM deben estar etiquetados
<a name="acm-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::ACM::Certificate`

**AWS Config regla:** `tagged-acm-certificate` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un certificado AWS Certificate Manager (ACM) tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el certificado no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el certificado no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="acm-3-remediation"></a>

*Para añadir etiquetas a un certificado ACM, consulte [Etiquetado de AWS Certificate Manager certificados](https://docs.aws.amazon.com/acm/latest/userguide/tags.html) en la Guía del usuario.AWS Certificate Manager *

# Controles CSPM de Security Hub para CloudFormation
<a name="cloudformation-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS CloudFormation servicio y los recursos.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)
<a name="cloudformation-1"></a>

**importante**  
Security Hub CSPM retiró este control en abril de 2024. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 SI-4(12), NIST.800-53.r5 SI-4(5)

**Categoría**: Detectar > Servicios de detección > Supervisión de aplicaciones

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudFormation::Stack`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una notificación de Amazon Simple Notification Service está integrada con una pila de CloudFormation . Se produce un error en el control de una CloudFormation pila si no hay ninguna notificación de SNS asociada a ella.

La configuración de una notificación de SNS con su CloudFormation pila ayuda a notificar inmediatamente a las partes interesadas cualquier evento o cambio que se produzca en la pila.

### Corrección
<a name="cloudformation-1-remediation"></a>

*Para integrar una CloudFormation pila y un tema de SNS, consulte [Actualización de pilas directamente](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html) en la Guía del AWS CloudFormation usuario.*

## [CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
<a name="cloudformation-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudFormation::Stack`

**AWS Config regla:** `tagged-cloudformation-stack` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una AWS CloudFormation pila tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si la pila no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la pila no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="cloudformation-2-remediation"></a>

Para añadir etiquetas a una CloudFormation pila, consulta la referencia [CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)de la *AWS CloudFormation API*.

## [CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
<a name="cloudformation-3"></a>

**Categoría:** Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFormation::Stack`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una AWS CloudFormation pila tiene habilitada la protección de terminación. El control falla si la protección de terminación no está habilitada en una CloudFormation pila.

CloudFormation ayuda a gestionar los recursos relacionados como una sola unidad denominada pila. Es posible evitar que una pila se elimine de manera accidental; para ello, habilite la protección de terminación en la pila. Si un usuario intenta eliminar una pila con la protección de terminación habilitada, la eliminación fallará y la pila junto con su estado no cambiarán. Puede configurar la protección de terminación en una pila con cualquier estado excepto `DELETE_IN_PROGRESS` o `DELETE_COMPLETE`. 

**nota**  
Al habilitar o deshabilitar la protección de terminación en una pila, también se habilita o deshabilita en las pilas anidadas. No se puede habilitar o deshabilitar la protección de terminación directamente en una pila anidada. No puedes eliminar directamente una pila anidada que pertenezca a una pila que tenga habilitada la protección de terminación. Si aparece el texto NESTED junto al nombre de la pila, es una pila anidada. Solo es posible cambiar la protección de terminación de la pila raíz a la que pertenece la pila anidada. 

### Corrección
<a name="cloudformation-3-remediation"></a>

Para habilitar la protección de terminación en una CloudFormation pila, consulte [Proteger las CloudFormation pilas para que no se eliminen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html) en la Guía del *AWS CloudFormation usuario*.

## [CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
<a name="cloudformation-4"></a>

**Categoría:** Detectar > Gestión de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFormation::Stack`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una AWS CloudFormation pila tiene asociada una función de servicio. El control falla para una CloudFormation pila si no hay ninguna función de servicio asociada a ella.

Funciones de ejecución de StackSets uso gestionado por el servicio mediante la integración de acceso confiable de AWS Organizations. El control también genera un error al encontrar una AWS CloudFormation pila creada por un servicio gestionado StackSets porque no tiene ningún rol de servicio asociado. Debido a la forma en que los servicios gestionados se StackSets autentican, el `roleARN` campo no se puede rellenar para estas pilas.

El uso de funciones de servicio con CloudFormation pilas ayuda a implementar el acceso con privilegios mínimos al separar los permisos entre el usuario que las creates/updates acumula y los permisos que necesitan los recursos. CloudFormation create/update Esto reduce el riesgo de una escalada de privilegios y ayuda a mantener los límites de seguridad entre las distintas funciones operativas.

**nota**  
No es posible eliminar un rol de servicio asociado a una pila después de crear la pila. Otros usuarios que tengan permisos para realizar operaciones en esta pila podrán usar este rol, sin importar si esos usuarios tienen o no el permiso `iam:PassRole`. Si el rol incluye permisos que el usuario no debería tener, puede escalar involuntariamente los permisos de un usuario. Asegúrese de que el rol concede privilegios mínimos.

### Corrección
<a name="cloudformation-4-remediation"></a>

Para asociar una función de servicio a una CloudFormation pila, consulte la [función CloudFormation de servicio](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html) en la *Guía del AWS CloudFormation usuario*.

# Controles CSPM de Security Hub para Amazon CloudFront
<a name="cloudfront-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el CloudFront servicio y los recursos de Amazon. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
<a name="cloudfront-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6

**Categoría**: Proteger > Gestión del acceso seguro > Recursos que no son de acceso público

**Gravedad:** alta

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una CloudFront distribución de Amazon con orígenes S3 está configurada para devolver un objeto específico que es el objeto raíz predeterminado. El control falla si la CloudFront distribución usa orígenes de S3 y no tiene configurado un objeto raíz predeterminado. Este control no se aplica a CloudFront las distribuciones que utilizan orígenes personalizados.

A veces, un usuario puede solicitar la URL raíz de la distribución en lugar de un objeto de la distribución. Cuando esto ocurre, especificar un objeto raíz predeterminado puede ayudarle a evitar la exposición del contenido de su distribución web.

### Corrección
<a name="cloudfront-1-remediation"></a>

Para configurar un objeto raíz predeterminado para una CloudFront distribución, consulte [Cómo especificar un objeto raíz predeterminado](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
<a name="cloudfront-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una CloudFront distribución de Amazon requiere que los espectadores utilicen HTTPS directamente o si utiliza la redirección. El control falla si `ViewerProtocolPolicy` está configurado como `allow-all` para `defaultCacheBehavior` o para `cacheBehaviors`.

El protocolo HTTPS (TLS) se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS.

### Corrección
<a name="cloudfront-3-remediation"></a>

Para cifrar una CloudFront distribución en tránsito, consulte [Exigir HTTPS para la comunicación entre espectadores y CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin
<a name="cloudfront-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una CloudFront distribución de Amazon está configurada con un grupo de origen que tiene dos o más orígenes.

CloudFront La conmutación por error de origen puede aumentar la disponibilidad. La conmutación por error de Origin redirige automáticamente el tráfico a un origen secundario si el origen principal no está disponible o si devuelve códigos de estado de respuesta HTTP específicos.

### Corrección
<a name="cloudfront-4-remediation"></a>

Para configurar la conmutación por error de origen para una CloudFront distribución, consulta [Cómo crear un grupo de origen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
<a name="cloudfront-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el registro de acceso al servidor está habilitado en las distribuciones. CloudFront El control falla si el registro de acceso no está habilitado para una distribución. Este control solo evalúa si el registro estándar (heredado) está habilitado para una distribución.

CloudFront los registros de acceso proporcionan información detallada sobre cada solicitud de usuario que CloudFront recibe. Cada registro contiene información como la fecha y la hora en que se recibió la solicitud, la dirección IP del espectador que realizó la solicitud, el origen de la solicitud y el número de puerto de la solicitud del espectador. Estos registros son útiles para aplicaciones como auditorías de seguridad y acceso y para investigaciones forenses. Para obtener más información sobre el análisis de los registros de acceso, consulte [Consulta CloudFront los registros de Amazon](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html) en la Guía del *usuario de Amazon Athena*.

### Corrección
<a name="cloudfront-5-remediation"></a>

Para configurar el registro estándar (heredado) para una CloudFront distribución, consulte [Configurar el registro estándar (heredado)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.6] CloudFront las distribuciones deben tener WAF activado
<a name="cloudfront-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2

**Categoría**: Proteger > Servicios de protección

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las CloudFront distribuciones están asociadas a la versión clásica o a la web. AWS WAF AWS WAF ACLs El control falla si la distribución no está asociada a una ACL web.

AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web contra APIs los ataques. Le permite configurar un conjunto de reglas denominadas lista de control de acceso web (Web ACL) que permiten, bloquean o cuentan solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Asegúrese de que su CloudFront distribución esté asociada a una ACL AWS WAF web para protegerla de ataques malintencionados.

### Corrección
<a name="cloudfront-6-remediation"></a>

Para asociar una ACL AWS WAF web a una CloudFront distribución, consulte [Uso AWS WAF para controlar el acceso a su contenido](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
<a name="cloudfront-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIst.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIst.800-171.r2 3.13.15

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si CloudFront las distribuciones utilizan el SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS certificado predeterminado.

 SSL/TLS Permita a sus usuarios acceder al contenido mediante nombres de dominio alternativos. Puede almacenar los certificados personalizados en AWS Certificate Manager (recomendado) o en IAM. 

### Corrección
<a name="cloudfront-7-remediation"></a>

*Para añadir un nombre de dominio alternativo a una CloudFront distribución mediante un certificado SSL/TLS personalizado, consulte [Añadir un nombre de dominio alternativo en](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME) la Guía para desarrolladores de Amazon. CloudFront *

## [CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
<a name="cloudfront-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si CloudFront las distribuciones de Amazon utilizan un SSL/TLS certificado personalizado y si están configuradas para utilizar el SNI para atender las solicitudes HTTPS. Este control falla si hay asociado un SSL/TLS certificado personalizado pero el método de SSL/TLS soporte es una dirección IP dedicada.

Server Name Indication (SNI) (Indicación de nombre de servidor [SNI]) es una extensión del protocolo TLS que admiten los navegadores y clientes disponibles desde 2010. Si se configura CloudFront para atender las solicitudes HTTPS mediante el SNI, CloudFront asocie su nombre de dominio alternativo a una dirección IP para cada ubicación perimetral. Cuando un espectador envía una solicitud HTTPS de contenido, el servicio DNS dirige la solicitud a la dirección IP de la ubicación de borde correcta. La dirección IP de tu nombre de dominio se determina durante la negociación del SSL/TLS protocolo de enlace; la dirección IP no está dedicada a tu distribución. 

### Corrección
<a name="cloudfront-8-remediation"></a>

Para configurar una CloudFront distribución que utilice el SNI para atender las solicitudes HTTPS, consulte [Uso del SNI para atender las solicitudes HTTPS (funciona para la mayoría de los clientes) en la CloudFront Guía para](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) desarrolladores. Para obtener información sobre los certificados SSL personalizados, consulte [Requisitos para usar SSL/TLS certificados con](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html). CloudFront

## [CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados
<a name="cloudfront-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si CloudFront las distribuciones de Amazon están cifrando el tráfico hacia orígenes personalizados. Este control falla en el caso de una CloudFront distribución cuya política de protocolo de origen permite «solo http». Este control también falla si la política de protocolo de origen de la distribución es “match-viewer”, mientras que la política de protocolo de visor es “permisible para todos”.

El protocolo HTTPS (TLS) se puede utilizar para evitar el espionaje o la manipulación del tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). 

### Corrección
<a name="cloudfront-9-remediation"></a>

Para actualizar la política de protocolo de origen para que exija el cifrado de una CloudFront conexión, consulta la [sección Exigir HTTPS para la comunicación entre CloudFront y tu origen personalizado](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados
<a name="cloudfront-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, (4), (1), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-53.r5 SC-8 NIst.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-8

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si CloudFront las distribuciones de Amazon utilizan protocolos SSL obsoletos para la comunicación HTTPS entre las ubicaciones de CloudFront borde y sus orígenes personalizados. Este control falla si una CloudFront distribución tiene un «`CustomOriginConfig`where `OriginSslProtocols` includes». `SSLv3`

En 2015, el Internet Engineering Task Force (IETF) anunció oficialmente que el SSL 3.0 debería quedar obsoleto debido a que el protocolo no era lo suficientemente seguro. Se recomienda utilizar TLSv1 .2 o una versión posterior para la comunicación HTTPS con sus orígenes personalizados. 

### Corrección
<a name="cloudfront-10-remediation"></a>

Para actualizar los protocolos SSL de Origin de una CloudFront distribución, consulta la sección [Exigir HTTPS para la comunicación entre CloudFront y tu origen personalizado](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
<a name="cloudfront-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), PCI DSS v4.0.1/2.2.6

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** alta

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si CloudFront las distribuciones de Amazon apuntan a orígenes de Amazon S3 inexistentes. El control de una CloudFront distribución falla si el origen está configurado para apuntar a un bucket inexistente. Este control solo se aplica a CloudFront las distribuciones en las que el origen de S3 es un bucket de S3 sin alojamiento de sitios web estáticos.

Cuando una CloudFront distribución de tu cuenta está configurada para apuntar a un depósito que no existe, un tercero malintencionado puede crear el depósito al que se hace referencia y publicar su propio contenido a través de tu distribución. Recomendamos comprobar todos los orígenes, independientemente del comportamiento de enrutamiento, para asegurarse de que sus distribuciones apuntan a los orígenes adecuados. 

### Corrección
<a name="cloudfront-12-remediation"></a>

Para modificar una CloudFront distribución para que apunte a un nuevo origen, consulta [Actualización de una distribución](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
<a name="cloudfront-13"></a>

**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una CloudFront distribución de Amazon con origen en Amazon S3 tiene configurado el control de acceso al origen (OAC). El control falla si el OAC no está configurado para la CloudFront distribución.

Si utiliza un bucket de S3 como origen para la CloudFront distribución, puede habilitar el OAC. Esto permite el acceso al contenido del depósito únicamente a través de la CloudFront distribución especificada y prohíbe el acceso directo desde el depósito u otra distribución. Si bien CloudFront es compatible con Origin Access Identity (OAI), OAC ofrece funciones adicionales y las distribuciones que utilizan OAI pueden migrar a OAC. Si bien la OAI proporciona una forma segura de acceder a los orígenes de S3, tiene limitaciones, como la falta de compatibilidad con configuraciones de políticas detalladas y con HTTP/HTTPS solicitudes que utilizan el método POST y Regiones de AWS que requieren la AWS firma de la versión 4 (SiGv4). La OAI tampoco admite el cifrado con. AWS Key Management Service La OAC se basa en la práctica AWS recomendada de utilizar los principios del servicio de IAM para autenticarse con orígenes de S3. 

### Corrección
<a name="cloudfront-13-remediation"></a>

Para configurar el OAC para una CloudFront distribución con orígenes S3, consulte [Restringir el acceso a un origen de Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) en la *Guía para CloudFront desarrolladores de Amazon*.

## [CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
<a name="cloudfront-14"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**AWS Config regla:** `tagged-cloudfront-distribution` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una CloudFront distribución de Amazon tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si la distribución no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la distribución no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="cloudfront-14-remediation"></a>

Para añadir etiquetas a una CloudFront distribución, consulta Cómo [etiquetar CloudFront distribuciones de Amazon](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html) en la Guía para * CloudFront desarrolladores de Amazon*.

## [CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
<a name="cloudfront-15"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** `securityPolicies`: `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (no personalizables)

Este control comprueba si una CloudFront distribución de Amazon está configurada para usar una política de seguridad TLS recomendada. El control falla si la CloudFront distribución no está configurada para usar una política de seguridad de TLS recomendada.

Si configuras una CloudFront distribución de Amazon para que los espectadores usen HTTPS para acceder al contenido, debes elegir una política de seguridad y especificar la versión mínima del SSL/TLS protocolo que se debe usar. Esto determina qué versión del protocolo se CloudFront utiliza para comunicarse con los espectadores y los cifrados que se CloudFront utilizan para cifrar las comunicaciones. Se recomienda utilizar la política de seguridad más reciente que se CloudFront proporcione. Esto garantiza que CloudFront utilice los conjuntos de cifrado más recientes para cifrar los datos en tránsito entre un espectador y una CloudFront distribución.

**nota**  
Este control genera resultados solo para CloudFront las distribuciones que están configuradas para usar certificados SSL personalizados y no están configuradas para admitir clientes antiguos.

### Corrección
<a name="cloudfront-15-remediation"></a>

Para obtener información sobre la configuración de la política de seguridad de una CloudFront distribución, consulte [Actualizar una distribución](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) en la *Guía para CloudFront desarrolladores de Amazon*. Cuando configure la política de seguridad para una distribución, elija la política de seguridad más reciente.

## [CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda
<a name="cloudfront-16"></a>

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una CloudFront distribución de Amazon con una URL de AWS Lambda función como origen tiene activado el control de acceso al origen (OAC). El control falla si la CloudFront distribución tiene una URL de función Lambda como origen y la OAC no está habilitada.

 AWS Lambda La URL de una función es un punto final HTTPS dedicado para una función Lambda. Si la URL de una función Lambda es el origen de una CloudFront distribución, la URL de la función debe ser de acceso público. Por lo tanto, como práctica recomendada de seguridad, debe crear un OAC y agregarlo a la URL de función de Lambda en una distribución. La OAC utiliza los principios del servicio de IAM para autenticar las solicitudes entre CloudFront y la URL de la función. También admite el uso de políticas basadas en recursos para permitir la invocación de una función solo si la solicitud es en nombre de una distribución especificada en la política. CloudFront 

### Corrección
<a name="cloudfront-16-remediation"></a>

Para obtener información sobre cómo configurar la OAC para una CloudFront distribución de Amazon que utiliza una URL de función Lambda como origen, [consulte Restringir el acceso al origen de AWS Lambda una URL de función](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html) en la Guía para desarrolladores de * CloudFront Amazon*.

## [CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs
<a name="cloudfront-17"></a>

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudFront::Distribution`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una CloudFront distribución de Amazon está configurada para utilizar grupos de claves de confianza para la autenticación de URL o cookies firmadas. El control falla si la CloudFront distribución utiliza firmantes de confianza o si no tiene configurada la autenticación.

Para usar cookies firmadas URLs o firmadas, necesita un firmante. Un firmante es un grupo de claves de confianza en CloudFront el que se crea o una AWS cuenta que contiene un par de CloudFront claves. Te recomendamos que utilices grupos de claves de confianza, ya que con los grupos de CloudFront claves no necesitas usar el usuario raíz de la AWS cuenta para administrar las claves públicas de las cookies CloudFront firmadas URLs y firmadas.

**nota**  
Este control no evalúa las CloudFront distribuciones `(connectionMode=tenant-only)` multiusuario.

### Corrección
<a name="cloudfront-17-remediation"></a>

Para obtener información sobre el uso de grupos de claves de confianza con firmas URLs y cookies, consulte [Uso de grupos de claves de confianza](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html) en la *Guía para CloudFront desarrolladores de Amazon*.

# Controles CSPM de Security Hub para AWS CloudTrail
<a name="cloudtrail-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS CloudTrail servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura
<a name="cloudtrail-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.1, CIS AWS Foundations Benchmark v1.2.0/2.1, CIS AWS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, NIST.800-53.r5 AC-2 (4), (26), (9), (22) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8

**Categoría:** Identificar - Registro

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**
+ `readWriteType`: `ALL` (no personalizable)

  `includeManagementEvents`: `true` (no personalizable)

Este control comprueba si hay al menos un registro multirregional que capture los eventos de gestión de lectura y escritura. AWS CloudTrail El control falla si CloudTrail está deshabilitado o si no hay al menos un CloudTrail registro que capture los eventos de administración de lectura y escritura.

AWS CloudTrail registra las llamadas a la AWS API de tu cuenta y te entrega los archivos de registro. La información registrada incluye lo siguiente:
+ Identidad del intermediario de la API
+ Hora de la llamada a la API
+ Dirección IP de origen de la persona que llama a la API
+ Parámetros de solicitud
+ Elementos de respuesta devueltos por el Servicio de AWS

CloudTrail proporciona un historial de las llamadas a la AWS API de una cuenta, incluidas las llamadas a la API realizadas desde las herramientas de línea de comandos Consola de administración de AWS AWS SDKs,. El historial también incluye las llamadas a la API de niveles superiores Servicios de AWS , como AWS CloudFormation.

El historial de llamadas a la AWS API generado por CloudTrail permite el análisis de seguridad, el seguimiento de los cambios en los recursos y la auditoría de conformidad. Los registros de seguimiento de varias regiones también ofrecen los siguientes beneficios.
+ Un registro de seguimiento de varias regiones ayuda a detectar la actividad inesperada que ocurre en regiones que no se utilizan.
+ Un registro de seguimiento de eventos de varias regiones garantiza que el registro de servicios globales esté habilitado para un registro de seguimiento de forma predeterminada. El registro de eventos de servicios globales registra los eventos generados por los servicios AWS globales.
+ Si se trata de un registro multirregional, los eventos de administración de todas las operaciones de lectura y escritura garantizan que las operaciones de administración de CloudTrail registros se realicen en todos los recursos de una Cuenta de AWS sola vez.

De forma predeterminada, las CloudTrail rutas que se crean con ellas Consola de administración de AWS son rutas multirregionales.

### Corrección
<a name="cloudtrail-1-remediation"></a>

Para crear un nuevo sendero multirregional CloudTrail, consulte [Creación de un sendero](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la Guía del *AWS CloudTrail usuario*. Use los siguientes valores:


| Campo | Valor | 
| --- | --- | 
|  Configuración adicional: validación de archivos de registro  |  Habilitado  | 
|  Elija los eventos de registro, los eventos de administración y la actividad de la API  |  **Leer** y **Escribir**. Desactive las casillas de verificación de las exclusiones.  | 

Para actualizar una ruta existente, consulte [Actualización de una ruta](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html) en la *Guía del usuario de AWS CloudTrail *. En **Eventos de administración**, para la **actividad de la API**, seleccione **Leer** y **Escribir**.

## [CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo
<a name="cloudtrail-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.5, CIS AWS Foundations Benchmark v1.2.0/2.7, CIS Foundations Benchmark v1.4.0/3.7, CIS AWS Foundations Benchmark v3.0.0/3.5, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), NISt.800-53.r5 SI-7 (6), NIST.800-53.r5 SC-2 NISt.800-171.r2 3.3.8, NIST.800-53.r5 SC-7 PCI AWS DSS v3.2.1/3.4, PCI DSS v3.2.1/3.4 4,0,1/10,3,2

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudTrail::Trail`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si CloudTrail está configurado para utilizar el cifrado del lado del servidor (SSE). AWS KMS key El control falla si no se ha definido `KmsKeyId`.

Para aumentar la seguridad de sus archivos de CloudTrail registro confidenciales, debe utilizar el cifrado del [lado del servidor con AWS KMS keys (SSE-KMS) en los archivos de CloudTrail registro para el cifrado](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) en reposo. Tenga en cuenta que, de forma predeterminada, los archivos de registro que envían CloudTrail a sus depósitos se cifran mediante el cifrado del [lado del servidor de Amazon con claves de cifrado administradas por Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html). 

### Corrección
<a name="cloudtrail-2-remediation"></a>

*Para habilitar el cifrado SSE-KMS para los archivos de registro, consulte [Actualizar un CloudTrail registro para usar una clave KMS en la Guía del usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail).AWS CloudTrail *

## [CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta
<a name="cloudtrail-3"></a>

**Requisitos relacionados:** NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, PCI DSS v3.2.1/10.2.2, PCI DSS v3.2.1/10.2.3, PCI DSS v3.2.1/10.2.4, PCI DSS v3.2.1/10.2.5, PCI DSS v3.2.1/10.2.6, PCI DSS v3.2.1/10.2.7, PCI DSS v3.2.1/10.3.1, PCI DSS v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, PCI DSS v4.0.1/10.2.1

**Categoría:** Identificar - Registro

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un AWS CloudTrail sendero está habilitado en su Cuenta de AWS. El control falla si tu cuenta no tiene al menos una CloudTrail ruta habilitada.

Sin embargo, algunos AWS servicios no permiten el registro de todos APIs los eventos. Debe implementar cualquier registro de auditoría adicional que no sea CloudTrail revisar la documentación de cada servicio en [los servicios e integraciones CloudTrail compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html).

### Corrección
<a name="cloudtrail-3-remediation"></a>

Para empezar CloudTrail a crear un registro, consulte el [AWS CloudTrail tutorial Cómo empezar a usarlo](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) en la *Guía del AWS CloudTrail usuario*.

## [CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada
<a name="cloudtrail-4"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.2, CIS Foundations Benchmark v1.2.0/2.2, CIS AWS Foundations Benchmark v1.4.0/3.2, CIS AWS Foundations Benchmark v3.0.0/3.2, NIST.800-53.r5 AU-9, NIst.800-53.r5 SI-4, NIst.800-53.r5 SI-7 (3), NISt.800-53.r5 SI-7 (3) r5 SI-7 (7), NIST.800-171.r2 3.3.8, PCI AWS DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, PCI DSS v4.0.1/10.3.2

**Categoría:** Protección de datos > Integridad de los datos

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudTrail::Trail`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la validación de la integridad del archivo de registro está habilitada en un CloudTrail registro.

CloudTrail la validación del archivo de registro crea un archivo de resumen firmado digitalmente que contiene un hash de cada registro que se CloudTrail escribe en Amazon S3. Puede utilizar estos archivos de resumen para determinar si un archivo de registro se modificó, se eliminó o no se modificó después de CloudTrail entregar el registro.

Security Hub CSPM recomienda activar la validación de archivos en todas las rutas. La validación de los archivos de registro proporciona comprobaciones adicionales de integridad de CloudTrail los registros.

### Corrección
<a name="cloudtrail-4-remediation"></a>

Para habilitar la validación de los archivos de CloudTrail registro, consulte [Habilitar la validación de la integridad de los archivos de registro CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) en la *Guía del AWS CloudTrail usuario*.

## [CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch
<a name="cloudtrail-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.4, PCI DSS v3.2.1/10.5.3, CIS Foundations Benchmark v1.2.0/2.4, CIS AWS Foundations Benchmark v1.4.0/3.4, NIST.800-53.r5 AC-2 (4), (26), (9), (9), NIst.800-53.r5 SI-20, NIST.800-53.r5 AC-4 NISt.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, NISt.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20)), NIst.800-53.r5 SI-4 (5), NIst.800-53.r5 SI-7 (8) AWS 

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudTrail::Trail`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si las CloudTrail rutas están configuradas para enviar registros a CloudWatch registros. El control falla si la propiedad `CloudWatchLogsLogGroupArn` de la ruta está vacía.

CloudTrail registra las llamadas a la AWS API que se realizan en una cuenta determinada. La información registrada incluye lo siguiente:
+ Identidad de la persona que llama a la API
+ Hora de la llamada a la API
+ Dirección IP de origen de la persona que llama a la API
+ Parámetros de solicitudes
+ Los elementos de respuesta devueltos por el Servicio de AWS

CloudTrail utiliza Amazon S3 para el almacenamiento y la entrega de archivos de registro. Puede capturar CloudTrail los registros en un depósito de S3 específico para analizarlos a largo plazo. Para realizar un análisis en tiempo real, puede configurar CloudTrail el envío de CloudWatch registros a Logs.

En el caso de un registro que esté habilitado en todas las regiones de una cuenta, CloudTrail envía los archivos de registro de todas esas regiones a un grupo de CloudWatch registros.

Security Hub (CSPM) recomienda enviar los CloudTrail registros a CloudWatch Logs. Tenga en cuenta que esta recomendación tiene por objeto garantizar que la actividad de la cuenta se capture, supervise y se genere la alarma adecuada. Puede usar CloudWatch los registros para configurar esto con su. Servicios de AWS Esta recomendación no impide el uso de una solución diferente.

El envío de CloudTrail CloudWatch registros a Logs facilita el registro de actividades históricas y en tiempo real en función del usuario, la API, el recurso y la dirección IP. Puede utilizar este abordaje para establecer alarmas y notificaciones en caso de que se produzcan actividades de la cuenta anómalas o delicadas.

### Corrección
<a name="cloudtrail-5-remediation"></a>

Para integrarlo CloudTrail con CloudWatch los registros, consulte [Enviar eventos a CloudWatch los registros](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html) en la *Guía del AWS CloudTrail usuario*.

## [CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público
<a name="cloudtrail-6"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/2.3, CIS Foundations Benchmark v1.4.0/3.3, PCI DSS AWS v4.0.1/1.4.4

**Categoría:** Identificar - Registro

**Gravedad:** crítica

**Tipo de recurso:** `AWS::S3::Bucket`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** periódico y activado por cambios

**Parámetros:** ninguno

CloudTrail registra un registro de todas las llamadas a la API realizadas en su cuenta. Los archivos de registro se almacenan en un bucket de S3. El CIS recomienda aplicar la política de compartimentos de S3, o lista de control de acceso (ACL), al depósito de S3 que CloudTrail registra para impedir el acceso público a los CloudTrail registros. Permitir el acceso público al contenido de los CloudTrail registros podría ayudar a un adversario a identificar puntos débiles en el uso o la configuración de la cuenta afectada.

Para ejecutar esta comprobación, Security Hub CSPM utiliza primero una lógica personalizada para buscar el depósito de S3 en el que se almacenan CloudTrail los registros. A continuación, utiliza las reglas AWS Config administradas para comprobar que el depósito es de acceso público.

Si agregas tus registros en un único depósito de S3 centralizado, Security Hub CSPM solo realizará la comprobación de la cuenta y la región en las que se encuentra el depósito de S3 centralizado. En el caso de otras cuentas y regiones, el estado de control es **Sin datos**.

Si el bucket está accesible públicamente, la comprobación genera un resultado de error.

### Corrección
<a name="cloudtrail-6-remediation"></a>

Para bloquear el acceso público a su depósito de CloudTrail S3, consulte [Configuración de los ajustes de bloqueo de acceso público para sus depósitos de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) en la *Guía del usuario de Amazon Simple Storage Service*. Seleccione las cuatro configuraciones de Bloqueo de acceso público de Amazon S3.

## [CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3
<a name="cloudtrail-7"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/2.6, CIS Foundations Benchmark v1.4.0/3.6, CIS AWS Foundations Benchmark v3.0.0/3.4, PCI DSS v4.0.1/10.2.1 AWS 

**Categoría:** Identificar - Registro

**Gravedad:** baja

**Tipo de recurso:** `AWS::S3::Bucket`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

El registro de acceso al bucket S3 genera un registro que contiene registros de acceso para cada solicitud realizada a su bucket S3. Un registro de acceso contiene detalles sobre la solicitud, como el tipo de solicitud, los recursos especificados en la solicitud con los que se ha trabajado y la fecha y hora en que se procesó la solicitud.

CIS recomienda habilitar el registro de acceso al bucket en el bucket CloudTrail S3.

Al habilitar el registro del bucket de S3 en los buckets de S3 de destino, puede capturar todos los eventos que podrían afectar a los objetos en el bucket de destino. Configurar los registros para que se coloquen en un bucket independiente permite el acceso a la información de registro, lo que puede resultar útil en flujos de trabajo de respuesta a incidentes y seguridad.

Para ejecutar esta comprobación, Security Hub CSPM utiliza primero una lógica personalizada para buscar el depósito en el que se almacenan CloudTrail los registros y, a continuación, utiliza la regla AWS Config administrada para comprobar si el registro está habilitado.

Si CloudTrail entrega archivos de registro de varios depósitos de Amazon S3 Cuentas de AWS a un único bucket de destino, Security Hub CSPM evalúa este control únicamente con respecto al depósito de destino de la región en la que se encuentra. Esto optimiza sus resultados. Sin embargo, debes activar todas CloudTrail las cuentas que envían registros al depósito de destino. Para todas las cuentas, excepto la que contiene el bucket de destino, el estado de control es **Sin datos**.

### Corrección
<a name="cloudtrail-7-remediation"></a>

Para habilitar el registro de acceso al servidor para su bucket de CloudTrail S3, consulte [Habilitar el registro de acceso al servidor Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging) en la *Guía del usuario de Amazon Simple Storage Service*.

## [CloudTrail.9] las CloudTrail rutas deben estar etiquetadas
<a name="cloudtrail-9"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::CloudTrail::Trail`

**AWS Config regla:** `tagged-cloudtrail-trail` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un AWS CloudTrail sendero tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el registro de seguimiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el registro de seguimiento no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="cloudtrail-9-remediation"></a>

Para añadir etiquetas a una CloudTrail ruta, consulta la referencia [AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)de la *AWS CloudTrail API*.

## [CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys
<a name="cloudtrail-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIst.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::CloudTrail::EventDataStore`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Una lista de los nombres de recursos de Amazon (ARNs) AWS KMS keys para incluirlos en la evaluación. El control genera un resultado `FAILED` si un almacén de datos de eventos no está cifrado con una clave de KMS de la lista.  |  StringList (máximo de 3 elementos)  |  De 1 a 3 ARNs de las claves KMS existentes. Por ejemplo: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`.  |  Sin valor predeterminado  | 

Este control comprueba si un almacén de datos de eventos de AWS CloudTrail Lake está cifrado en reposo y gestionado AWS KMS key por un cliente. El control fallará si el almacén de datos de eventos no está cifrado con una clave de KMS administrada por el cliente. Puede especificar opcionalmente una lista de claves de KMS para que el control las incluya en la evaluación.

De forma predeterminada, AWS CloudTrail Lake cifra los almacenes de datos de eventos con claves administradas de Amazon S3 (SSE-S3) mediante un algoritmo AES-256. Para tener un control adicional, puede configurar CloudTrail Lake para que cifre un almacén de datos de eventos mediante un sistema gestionado por el cliente (SSE-KMS). AWS KMS key Una clave KMS gestionada por el cliente es AWS KMS key aquella que usted crea, posee y administra desde su cuenta. Cuenta de AWS Ejerce control total sobre este tipo de clave de KMS. Esto incluye definir y mantener la política de claves, administrar concesiones, rotar el material criptográfico, asignar etiquetas, crear alias, y habilitar y deshabilitar la clave. Puede usar una clave KMS administrada por el cliente en operaciones criptográficas para sus CloudTrail datos y auditar el uso con CloudTrail registros.

### Corrección
<a name="cloudtrail-10-remediation"></a>

Para obtener información sobre cómo cifrar un banco de datos de eventos de AWS CloudTrail Lake con una AWS KMS key que usted especifique, consulte [Actualizar un banco de datos de eventos en la](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html) Guía del *AWS CloudTrail usuario*. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.

# Controles CSPM de Security Hub para Amazon CloudWatch
<a name="cloudwatch-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el CloudWatch servicio y los recursos de Amazon. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»
<a name="cloudwatch-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.1, CIS Foundations Benchmark v1.2.0/3.3, CIS AWS Foundations Benchmark v1.4.0/1.7, CIS Foundations Benchmark v1.4.0/4.3, AWS NIST.800-171.r2 3.14.6, NISt.800-171.r2 3.14.7, PCI DSS AWS v3.2.1/7.2.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este usuario raíz tiene acceso a todos los recursos y los servicios no restringidos de Cuenta de AWS. Le recomendamos encarecidamente que evite utilizar el usuario raíz para las tareas diarias. Minimizar el uso del usuario raíz y adoptar el principio de privilegio mínimo para la administración del acceso reduce el riesgo de cambios accidentales y de la divulgación no intencionada de credenciales altamente privilegiadas.

Como práctica recomendada, utilice sus credenciales de usuario raíz solo cuando sea necesario para [ realizar tareas de administración de cuentas y servicios](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Aplique las políticas AWS Identity and Access Management (de IAM) directamente a los grupos y funciones, pero no a los usuarios. Para ver un tutorial sobre cómo configurar un administrador para el uso diario, consulte [Creación del primer grupo y usuario administrador de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) en la *Guía de usuario de IAM*.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 1.7 en el [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-1-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas
<a name="cloudwatch-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.1, NISt.800-171.r2 3.13.1, NISt.800-171.r2 3.14.6, NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y una alarma para llamadas a la API no autorizadas. La monitorización de las llamadas no autorizadas a la API ayuda a revelar errores de la aplicación y puede reducir el tiempo que se tarda en detectar actividades malintencionadas.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.1 en el [CIS AWS Foundations Benchmark v1.2](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf). Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-2-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA
<a name="cloudwatch-3"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.2

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los inicios de sesión en la consola que no estén protegidos por MFA. La monitorización de los inicios de sesión de la consola con un solo factor aumenta la visibilidad de las cuentas que no están protegidas por MFA. 

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.2 en el [CIS AWS Foundations Benchmark v1.2](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf). Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-3-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM
<a name="cloudwatch-4"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.4, CIS Foundations Benchmark v1.4.0/4.4, NISt.800-171.r2 3.14.6, AWS NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si se supervisan las llamadas a la API en tiempo real. Para ello, dirige los CloudTrail registros a los CloudWatch registros y establece los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las políticas de IAM. La monitorización de estos cambios ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-4-remediation"></a>

**nota**  
El patrón de filtro que recomendamos en estos pasos de corrección difiere del patrón de filtro de la guía del CIS. Nuestros filtros recomendados se dirigen únicamente a los eventos que provienen de las llamadas a la API de IAM.

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración
<a name="cloudwatch-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.5, CIS Foundations Benchmark v1.4.0/4.5, NISt.800-171.r2 3.3.8, AWS NISt.800-171.r2 3.14.6, NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios a los ajustes de la configuración de CloudTrail. La monitorización de estos cambios ayuda a garantizar la visibilidad continua de las actividades de la cuenta.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.5 en el [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-5-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación
<a name="cloudwatch-6"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.6, CIS Foundations Benchmark v1.4.0/4.6, NISt.800-171.r2 3.14.6, AWS NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métrica y alarma para los intentos de autenticación de la consola que producen un error. La monitorización de los inicios de sesión con error en la consola podría disminuir el tiempo que se tarda en detectar un intento introducir credenciales por fuerza bruta, lo que podría proporcionar un indicador, como el IP de origen, que se puede utilizar en otras correlaciones de eventos. 

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.6 en el [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-6-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente
<a name="cloudwatch-7"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.7, CIS Foundations Benchmark v1.4.0/4.7, NISt.800-171.r2 AWS 3.13.10, NISt.800-171.r2 3.13.16, NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para claves administradas por el cliente que hayan cambiado de estado a deshabilitada o eliminación programada. Los datos cifrados con claves deshabilitadas o eliminadas ya no son accesibles.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.7 en el [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas. El control también falla si `ExcludeManagementEventSources` contiene `kms.amazonaws.com`.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-7-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3
<a name="cloudwatch-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.8, CIS Foundations Benchmark v1.4.0/4.8, NISt.800-171.r2 3.14.6, AWS NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las políticas de bucket S3. La monitorización de estos cambios puede reducir el tiempo que se tarda en detectar y corregir políticas permisivas sobre buckets de S3 confidenciales.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.8 en el [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-8-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración
<a name="cloudwatch-9"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.9, CIS Foundations Benchmark v1.4.0/4.9, NISt.800-171.r2 3.3.8, AWS NISt.800-171.r2 3.14.6, NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios a los ajustes de la configuración de AWS Config . La monitorización de estos cambios ayuda a garantizar la visibilidad continua de los elementos de configuración de la cuenta.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.9 en el [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-9-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad
<a name="cloudwatch-10"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.10, CIS Foundations Benchmark v1.4.0/4.10, NISt.800-171.r2 3.14.6, AWS NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. Los grupos de seguridad son un filtro de paquetes con estado que controlan el tráfico de entrada y salida en una VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a los grupos de seguridad. La monitorización de estos cambios ayuda a garantizar que los recursos y servicios no se expongan de forma involuntaria. 

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.10 en el [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-10-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)
<a name="cloudwatch-11"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.11, CIS Foundations Benchmark v1.4.0/4.11, NIST.800-171.r2 3.14.6, AWS NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. NACLs se utilizan como un filtro de paquetes sin estado para controlar el tráfico de entrada y salida de las subredes de una VPC.

El CIS recomienda crear un filtro métrico y una alarma para detectar los cambios en. NACLs La supervisión de estos cambios ayuda a garantizar que AWS los recursos y servicios no queden expuestos involuntariamente. 

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.11 en el [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-11-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red
<a name="cloudwatch-12"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.12, CIS Foundations Benchmark v1.4.0/4.12, NISt.800-171.r2 3.3.1, AWS NISt.800-171.r2 3.13.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. Las gateways de red son necesarias para enviar y recibir tráfico a un destino fuera de una VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las puertas de enlace de red. La monitorización de estos cambios ayuda a garantizar que todo el tráfico de entrada y salida atraviesa la frontera de la VPC a través de una ruta controlada.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.12 en el [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-12-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas
<a name="cloudwatch-13"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.13, CIS Foundations Benchmark v1.4.0/4.13, NISt.800-171.r2 AWS 3.3.1, NISt.800-171.r2 3.13.1, NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si se supervisan las llamadas a la API en tiempo real. Para ello, dirige los CloudTrail registros a los CloudWatch registros y establece los filtros de métricas y las alarmas correspondientes. Las tablas de enrutamiento dirigen el tráfico de red entre subredes y a gateways de red.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las tablas de enrutamiento. La monitorización de estos cambios ayuda a garantizar que todo el tráfico de la VPC vaya a través de una ruta esperada.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-13-remediation"></a>

**nota**  
El patrón de filtro que recomendamos en estos pasos de corrección difiere del patrón de filtro de la guía del CIS. Nuestros filtros recomendados se centran únicamente en eventos procedentes de llamadas a la API de Amazon Elastic Compute Cloud (EC2).

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC
<a name="cloudwatch-14"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/3.14, CIS Foundations Benchmark v1.4.0/4.14, NISt.800-171.r2 AWS 3.3.1, NISt.800-171.r2 3.13.1, NISt.800-171.r2 3.14.7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::Logs::MetricFilter`, `AWS::CloudWatch::Alarm`, `AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. Puede tener más de una VPC en una cuenta y puede crear una conexión de igual nivel entre dos VPCs, lo que permite que el tráfico de red se enrute entre ellas. VPCs

El CIS recomienda crear un filtro de métricas y una alarma para VPCs los cambios en. La monitorización de estos cambios ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.

Para ejecutar esta comprobación, Security Hub CSPM utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.14 en el [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

**nota**  
Cuando Security Hub CSPM comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.  
La comprobación arroja resultados de `FAILED` en los siguientes casos:  
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de `NO_DATA` en los siguientes casos:  
Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.  
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de `NO_DATA` de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a `ListSubscriptionsByTopic`. De lo contrario, Security Hub CSPM generará `WARNING` resultados para el control.

### Corrección
<a name="cloudwatch-14-remediation"></a>

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

1. Cree un CloudTrail registro que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte [Crear un registro de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) en la *Guía del usuario de AWS CloudTrail *.

   Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

1. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo [crear un filtro de métricas para un grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) en la *Guía del CloudWatch usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

1. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo [crear una CloudWatch alarma basada en un filtro métrico de grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) en la Guía * CloudWatch del usuario de Amazon*. Use los siguientes valores:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas
<a name="cloudwatch-15"></a>

**Requisitos relacionados:** NiSt.800-53.r5 IR-4 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NiSt.800-53.r5 IR-4 (5), NiSt.800-53.r5 SI-2, NiSt.800-53.r5 SI-20, NIst.800-53.r5 SI-4 (12), NIst.800-53.r5 SI-4 (5), NIst.800-171.r2 3.3.4, NiSt.800-171R2 3,14,6

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::CloudWatch::Alarm`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `alarmActionRequired`  |  El control genera un resultado `PASSED` si el parámetro está establecido en `true` y la alarma tiene una acción cuando el estado de la alarma cambia a `ALARM`.  |  Booleano  |  No personalizable  |  `true`  | 
|  `insufficientDataActionRequired`  |  El control genera un resultado `PASSED` si el parámetro está establecido en `true` y la alarma tiene una acción cuando el estado de la alarma cambia a `INSUFFICIENT_DATA`.  |  Booleano  |  `true` o `false`  |  `false`  | 
|  `okActionRequired`  |  El control genera un resultado `PASSED` si el parámetro está establecido en `true` y la alarma tiene una acción cuando el estado de la alarma cambia a `OK`.  |  Booleano  |  `true` o `false`  |  `false`  | 

Este control comprueba si una CloudWatch alarma de Amazon tiene al menos una acción configurada para el `ALARM` estado. Se produce un error en el control si la alarma no tiene ninguna acción configurada para el estado `ALARM`. De manera opcional, puede incluir valores personalizados de parámetros para requerir también acciones de alarma para los estados `INSUFFICIENT_DATA` o `OK`.

**nota**  
Security Hub CSPM evalúa este control en CloudWatch función de las alarmas métricas. Las alarmas de métricas pueden formar parte de alarmas compuestas que tienen configuradas las acciones especificadas. El control arroja resultados `FAILED` en los siguientes casos:  
Las acciones especificadas no están configuradas para una alarma de métrica.
La alarma de métrica forma parte de una alarma compuesta que tiene configuradas las acciones especificadas.

Este control se centra en si una CloudWatch alarma tiene configurada una acción de alarma, mientras que el parámetro [CloudWatch.17](#cloudwatch-17) se centra en el estado de activación de una acción de alarma. CloudWatch 

Recomendamos realizar acciones de CloudWatch alarma para avisarle automáticamente cuando una métrica monitorizada supere el umbral definido. Las alarmas de supervisión ayudan a identificar actividades inusuales y a responder rápidamente a los problemas operativos y de seguridad cuando una alarma pasa a un estado específico. El tipo más común de acción de alarma es notificar a uno o más usuarios mediante el envío de un mensaje a un tema de Amazon Simple Notification Service (Amazon SNS).

### Corrección
<a name="cloudwatch-15-remediation"></a>

Para obtener información sobre las acciones que admiten las CloudWatch alarmas, consulta [Acciones de alarma](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) en la *Guía del CloudWatch usuario de Amazon*.

## [CloudWatch.16] Los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico
<a name="cloudwatch-16"></a>

**Categoría:** Identificar - Registro

**Requisitos relacionados:** NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-12

**Gravedad:** media

**Tipo de recurso:** `AWS::Logs::LogGroup`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minRetentionTime`  |  Periodo mínimo de retención en días para los grupos de registros CloudWatch   |  Enum  |  `365, 400, 545, 731, 1827, 3653`  |  `365`  | 

Este control comprueba si un grupo de CloudWatch registros de Amazon tiene un período de retención de al menos el número de días especificado. Se produce un error en el control si el periodo de retención es inferior a la cantidad especificada. A menos que proporciones un valor de parámetro personalizado para el período de retención, Security Hub CSPM utiliza un valor predeterminado de 365 días.

CloudWatch Los registros centralizan los registros de todos sus sistemas y aplicaciones Servicios de AWS en un único servicio altamente escalable. Puede usar CloudWatch Logs para monitorear, almacenar y acceder a sus archivos de registro desde instancias de Amazon Elastic Compute Cloud (EC2), AWS CloudTrail Amazon Route 53 y otras fuentes. Conservar los registros durante al menos un año puede ayudarle a cumplir con los estándares de retención de registros.

### Corrección
<a name="cloudwatch-16-remediation"></a>

Para configurar los ajustes de retención de registros, consulta [Cambiar la retención de datos de registro en CloudWatch los registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) en la *Guía del CloudWatch usuario de Amazon*.

## [CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
<a name="cloudwatch-17"></a>

**Categoría:** Detectar - Servicios de detección

**Requisitos relacionados:** niST.800-53.r5 SI-2 NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIst.800-53.r5 SI-4 (12)

**Gravedad:** alta

**Tipo de recurso:** `AWS::CloudWatch::Alarm`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las acciones de CloudWatch alarma están activadas (`ActionEnabled`debe configurarse en true). El control falla si la acción de alarma de una CloudWatch alarma está desactivada.

**nota**  
Security Hub CSPM evalúa este control en CloudWatch función de las alarmas métricas. Las alarmas de métricas pueden formar parte de alarmas compuestas que tienen activadas las acciones de alarma. El control arroja resultados `FAILED` en los siguientes casos:  
Las acciones especificadas no están configuradas para una alarma de métrica.
La alarma de métrica forma parte de una alarma compuesta que tiene activadas las acciones de alarma.

Este control se centra en el estado de activación de una acción de CloudWatch alarma, mientras que el parámetro [CloudWatch.15](#cloudwatch-15) se centra en si alguna `ALARM` acción está configurada en una alarma. CloudWatch 

Las acciones de alarma le avisan automáticamente cuando una métrica monitorizada está fuera del umbral definido. Si la acción de alarma está desactivada, no se ejecuta ninguna acción cuando la alarma cambia de estado y no se le avisará de los cambios en las métricas monitorizadas. Recomendamos activar las acciones de CloudWatch alarma para ayudarle a responder rápidamente a los problemas operativos y de seguridad.

### Corrección
<a name="cloudwatch-17-remediation"></a>

**Para activar una acción CloudWatch de alarma (consola)**

1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, elija **Alarmas** y, luego, **Todas las alarmas**.

1. Seleccione la alarma para la que desea activar las acciones.

1. En **Acciones**, selecciona **Acciones de alarma (nuevas)** y, a continuación, selecciona **Habilitar**.

Para obtener más información sobre la activación de las acciones de CloudWatch alarma, consulta [Acciones de alarma](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) en la *Guía del CloudWatch usuario de Amazon*.

# Controles CSPM de Security Hub para CodeArtifact
<a name="codeartifact-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS CodeArtifact servicio y los recursos.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
<a name="codeartifact-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::CodeArtifact::Repository`

**AWS Config regla:** `tagged-codeartifact-repository` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un AWS CodeArtifact repositorio tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el repositorio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el repositorio no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="codeartifact-1-remediation"></a>

Para añadir etiquetas a un CodeArtifact repositorio, consulte [Etiquetar un repositorio CodeArtifact en](https://docs.aws.amazon.com/codeartifact/latest/ug/tag-repositories.html) la Guía del *AWS CodeArtifact usuario*.

# Controles CSPM de Security Hub para CodeBuild
<a name="codebuild-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS CodeBuild servicio y los recursos.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales
<a name="codebuild-1"></a>

**Requisitos relacionados:** PCI DSS NIST.800-53.r5 SA-3 v3.2.1/8.2.1, PCI DSS v4.0.1/8.3.2

**Categoría:** Proteger - Desarrollo seguro

**Gravedad:** crítica

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la URL del repositorio fuente de Bitbucket de un AWS CodeBuild proyecto contiene tokens de acceso personales o un nombre de usuario y una contraseña. El control falla si la URL del repositorio de origen de Bitbucket contiene tókenes de acceso personal o un nombre de usuario y una contraseña.

**nota**  
Este control evalúa tanto la fuente principal como las fuentes secundarias de un proyecto de CodeBuild compilación. Para obtener más información acerca de los orígenes del proyecto, consulte [Multiple input sources and output artifacts sample](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html) en la *Guía del usuario de AWS CodeBuild *.

Las credenciales de inicio de sesión no deben almacenarse o transmitirse en texto sin formato ni aparecer en la URL del repositorio de origen. En lugar de utilizar fichas de acceso personales o credenciales de inicio de sesión, debes acceder a tu proveedor de fuentes y cambiar la URL del repositorio de origen para que contenga solo la ruta a la ubicación del repositorio de Bitbucket. CodeBuild El uso de tókenes de acceso personal o de credenciales de inicio de sesión podría dar lugar a la exposición involuntaria de datos o al acceso no autorizado.

### Corrección
<a name="codebuild-1-remediation"></a>

Puedes actualizar tu CodeBuild proyecto para usarlo. OAuth

**Para eliminar el token de autenticación básica/(GitHub) de acceso personal de la fuente del CodeBuild proyecto**

1. Abra la CodeBuild consola en [https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/).

1. Elija el proyecto de compilación que contiene tokens de acceso personales o un nombre de usuario y una contraseña.

1. En **Edit (Editar)**, elija **Source (Origen)**.

1. Selecciona **Desconectar de GitHub /Bitbucket**.

1. Selecciona **Conectar mediante OAuth** y, a continuación, selecciona **Conectar a GitHub /Bitbucket**.

1. Cuando se le solicite, elija **authorize as appropriate (autorizar según corresponda)**.

1. Vuelva a configurar la URL de repositorio y los ajustes de la configuración adicional, según sea necesario.

1. Elija **Update source (Actualizar origen)**.

Para obtener más información, consulta los [ejemplos basados en casos de CodeBuild uso](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html) en la Guía del *AWS CodeBuild usuario*.

## [CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro
<a name="codebuild-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 IA-5 (7), PCI DSS NIST.800-53.r5 SA-3 v3.2.1/8.2.1, PCI DSS v4.0.1/8.3.2

**Categoría:** Proteger - Desarrollo seguro

**Gravedad:** crítica

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el proyecto contiene las variables de entorno `AWS_ACCESS_KEY_ID` y `AWS_SECRET_ACCESS_KEY`.

Las credenciales de autenticación `AWS_ACCESS_KEY_ID` y `AWS_SECRET_ACCESS_KEY` no deben almacenarse nunca en texto sin cifrar, ya que esto podría conducir a una exposición no intencionada de los datos y a un acceso no autorizado.

### Corrección
<a name="codebuild-2-remediation"></a>

[https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) Asegúrese de que no haya nada seleccionado para las **Variables de entorno**.

Puede almacenar variables de entorno con valores sensibles en el almacén de AWS Systems Manager parámetros o AWS Secrets Manager , a continuación, recuperarlas de las especificaciones de compilación. Para obtener instrucciones, consulte el cuadro denominado **Importante** en la [sección Medio ambiente](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment) de la *Guía del usuario de AWS CodeBuild *.

## [CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
<a name="codebuild-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 (6), PCI DSS v4.0.1/10.3.2

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** baja

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los registros de Amazon S3 de un AWS CodeBuild proyecto están cifrados. El control falla si se desactiva el cifrado de los registros de S3 de un CodeBuild proyecto.

El cifrado de los datos en reposo es una práctica recomendada para añadir una capa de gestión del acceso a los datos. El cifrado de los registros inactivos reduce el riesgo de que un usuario no autenticado acceda AWS a los datos almacenados en el disco. Añade otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. 

### Corrección
<a name="codebuild-3-remediation"></a>

Para cambiar la configuración de cifrado de los registros CodeBuild del proyecto S3, consulte [Cambiar la configuración de un proyecto de compilación AWS CodeBuild en](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) la Guía del *AWS CodeBuild usuario*.

## [CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config
<a name="codebuild-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIst.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIst.800-53.r5 SI-4, NIst.800-53.r5 SI-4 (20), NISt.800-53.r5 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el entorno de un CodeBuild proyecto tiene al menos una opción de registro, ya sea para S3 o para CloudWatch registros habilitados. Este control falla si un entorno de CodeBuild proyecto no tiene habilitada al menos una opción de registro. 

Desde una perspectiva de seguridad, el registro es una característica importante para permitir futuros esfuerzos forenses en caso de cualquier incidente de seguridad. La correlación de las anomalías en los CodeBuild proyectos con las detecciones de amenazas puede aumentar la confianza en la precisión de esas detecciones de amenazas.

### Corrección
<a name="codebuild-4-remediation"></a>

Para obtener más información sobre cómo configurar los ajustes CodeBuild del registro del proyecto, consulte [Crear un proyecto de compilación (consola) en la Guía del](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs) usuario. CodeBuild 

## [CodeBuild.5] Los entornos de CodeBuild proyectos no deberían tener habilitado el modo privilegiado
<a name="codebuild-5"></a>

**importante**  
Security Hub CSPM retiró este control en abril de 2024. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6 (10) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (2)

**Categoría:** Proteger > Administración de acceso seguro

**Gravedad:** alta

**Tipo de recurso:** `AWS::CodeBuild::Project`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el entorno de un AWS CodeBuild proyecto tiene el modo privilegiado activado o desactivado. El control falla si el entorno de un CodeBuild proyecto tiene habilitado el modo privilegiado.

De forma predeterminada, los contenedores Docker no permiten el acceso a ningún dispositivo. El modo privilegiado otorga acceso al contenedor Docker de un proyecto de compilación a todos los dispositivos. La configuración `privilegedMode` con un valor `true` permite que el daemon de Docker se ejecute dentro de un contenedor de Docker. El daemon de Docker escucha las solicitudes de la API de Docker y administra los objetos de Docker, como imágenes, contenedores, redes y volúmenes. Este parámetro solo debe establecerse en true si el proyecto de compilación se utiliza para compilar imágenes de Docker. De lo contrario, esta configuración debe estar deshabilitada para evitar el acceso no deseado a Docker APIs y al hardware subyacente del contenedor. Esta configuración de `privilegedMode` como `false` a proteger los recursos críticos contra la manipulación y la eliminación.

### Corrección
<a name="codebuild-5-remediation"></a>

Para configurar los ajustes CodeBuild del entorno del proyecto, consulte [Crear un proyecto de compilación (consola)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment) en la Guía del *CodeBuild usuario*. En la sección **Entorno**, no seleccione la configuración **Privilegiada**.

## [CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
<a name="codebuild-7"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::CodeBuild::ReportGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los resultados de las pruebas de un grupo de AWS CodeBuild informes que se exportan a un bucket de Amazon Simple Storage Service (Amazon S3) están cifrados en reposo. El control falla si la exportación del grupo de informes no está cifrada en reposo.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="codebuild-7-remediation"></a>

Para cifrar la exportación del grupo de informes a S3, consulte [Update a report group](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html) en la *Guía del usuario de AWS CodeBuild *.

# Controles CSPM de Security Hub para Amazon Profiler CodeGuru
<a name="codeguruprofiler-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon CodeGuru Profiler.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
<a name="codeguruprofiler-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::CodeGuruProfiler::ProfilingGroup`

**Regla de AWS Config : ** `codeguruprofiler-profiling-group-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un grupo de CodeGuru perfiles de Amazon Profiler tiene etiquetas con las claves específicas definidas en el parámetro. `requiredKeyTags` El control falla si el grupo de generación de perfiles no tiene ninguna clave de etiqueta, o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporcionan valores para el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el grupo de generación de perfiles no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="codeguruprofiler-1-remediation"></a>

Para añadir etiquetas a un grupo de creación de CodeGuru perfiles, consulte [Etiquetado de grupos de creación de perfiles en](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/tagging-profiling-groups.html) la Guía del usuario de *Amazon CodeGuru * Profiler.

# Controles de CSPM de Security Hub para Amazon Reviewer CodeGuru
<a name="codegurureviewer-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon CodeGuru Reviewer.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
<a name="codegurureviewer-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::CodeGuruReviewer::RepositoryAssociation`

**Regla de AWS Config : ** `codegurureviewer-repository-association-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una asociación de repositorios de Amazon CodeGuru Reviewer tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la asociación de repositorio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no proporciona valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si la asociación de repositorio no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="codegurureviewer-1-remediation"></a>

Para añadir etiquetas a una asociación de repositorios de CodeGuru Reviewer, consulte [Etiquetar una asociación de repositorios](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/tag-repository-association.html) en la *Guía del usuario de Amazon CodeGuru Reviewer*.

# Controles CSPM de Security Hub para Amazon Cognito
<a name="cognito-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Cognito. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar
<a name="cognito-1"></a>

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `SecurityMode`  |  El modo de aplicación obligatoria de la protección contra amenazas que el control revisa.  |  Cadena  |  `AUDIT`, `ENFORCED`  |  `ENFORCED`  | 

Este control verifica si un grupo de usuarios de Amazon Cognito tiene la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar. El control falla si el grupo de usuarios tiene la protección contra amenazas desactivada o si el modo de aplicación obligatoria no está configurado en función completa para la autenticación estándar. A menos que proporcione valores de parámetros personalizados, el CSPM de Security Hub utiliza el valor predeterminado de `ENFORCED` para el modo de aplicación establecido en función completa para la autenticación estándar.

Después de crear un grupo de usuarios de Amazon Cognito, puede activar la protección contra amenazas y personalizar las acciones que se realizan en respuesta a distintos riesgos. O puede usar el modo de auditoría para recopilar métricas sobre riesgos detectados sin aplicar ninguna mitigación de seguridad. En el modo auditoría, Threat Protection publica las métricas en Amazon CloudWatch. Puede ver las métricas después de que Amazon Cognito genere su primer evento.

### Corrección
<a name="cognito-1-remediation"></a>

Para obtener información sobre cómo activar la protección contra amenazas para un grupo de usuarios de Amazon Cognito, consulte [Seguridad avanzada con protección contra amenazas](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) en la *Guía del desarrollador de Amazon Cognito*.

## [Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
<a name="cognito-2"></a>

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** media

**Tipo de recurso:** `AWS::Cognito::IdentityPool`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si un grupo de identidades de Amazon Cognito está configurado para permitir identidades no autenticadas. El control falla si el acceso de invitado está activado (el parámetro `AllowUnauthenticatedIdentities` está configurado en `true`) para el grupo de identidades.

Si un grupo de identidades de Amazon Cognito permite identidades no autenticadas, el grupo de identidades proporciona AWS credenciales temporales a los usuarios que no se han autenticado a través de un proveedor de identidades (invitados). Esto crea riesgos de seguridad porque permite el acceso anónimo a los recursos. AWS Si desactivas el acceso como invitado, puedes garantizar que solo los usuarios debidamente autenticados puedan acceder a tus AWS recursos, lo que reduce el riesgo de acceso no autorizado y de posibles violaciones de seguridad. Como práctica recomendada, un grupo de identidades debe requerir autenticación a través de proveedores de identidades compatibles. Si el acceso no autenticado es necesario, es importante restringir cuidadosamente los permisos para las identidades no autenticadas y revisar y supervisar regularmente su uso.

### Corrección
<a name="cognito-2-remediation"></a>

Para obtener información sobre cómo desactivar el acceso de invitado para un grupo de identidades de Amazon Cognito, consulte [Activación o desactivación del acceso de invitado](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities) en la *Guía del desarrollador de Amazon Cognito*.

## [Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas
<a name="cognito-3"></a>

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minLength`  | El número mínimo de caracteres que debe contener una contraseña.  | Entero | De `8` a `128` | `8 ` | 
|  `requireLowercase`  | Requerir al menos un carácter en minúscula en una contraseña.  | Booleano | `True`, `False` | `True`  | 
|  `requireUppercase`  | Requerir al menos un carácter en mayúscula en una contraseña.  | Booleano | `True`, `False` | `True`  | 
|  `requireNumbers`  | Requerir al menos un número en una contraseña.  | Booleano | `True`, `False` | `True`  | 
|  `requireSymbols`  | Requerir al menos un símbolo en una contraseña.  | Booleano | `True`, `False` | `True`  | 
|  `temporaryPasswordValidity`  | El número máximo de días que una contraseña puede existir antes de que expire.  | Entero | De `7` a `365` | `7`  | 

Este control verifica si la política de contraseñas de un grupo de usuarios de Amazon Cognito requiere el uso de contraseñas sólidas, basadas en configuraciones recomendadas para políticas de contraseñas. El control falla si la política de contraseñas del grupo de usuarios no exige contraseñas sólidas. Puede especificar opcionalmente valores personalizados para los ajustes de la política que el control verifica.

Las contraseñas sólidas son una práctica recomendada de seguridad para los grupos de usuarios de Amazon Cognito. Las contraseñas débiles pueden exponer las credenciales de los usuarios a sistemas que adivinan contraseñas y tratan de acceder a datos. Este es especialmente el caso de aplicaciones que están abiertas a Internet. Las políticas de contraseñas son un elemento central de la seguridad de los directorios de usuarios. Al usar una política de contraseñas, puede configurar un grupo de usuarios para exigir complejidad de contraseñas y otros ajustes que cumplan con los estándares y requisitos de seguridad.

### Corrección
<a name="cognito-3-remediation"></a>

Para obtener información sobre cómo crear o actualizar la política de contraseñas para un grupo de usuarios de Amazon Cognito, consulte [Cómo agregar requisitos de contraseña para grupos de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies) en la *Guía del desarrollador de Amazon Cognito*.

## [Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada
<a name="cognito-4"></a>

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de usuarios de Amazon Cognito tiene activada la protección contra amenazas con el modo de aplicación configurado en función completa para la autenticación personalizada. El control falla si el grupo de usuarios tiene deshabilitada la protección contra amenazas o si el modo de aplicación no está configurado para funcionar al máximo para la autenticación personalizada.

La protección contra amenazas, anteriormente conocida como características avanzadas de seguridad, consiste en un conjunto de herramientas de supervisión de la actividad no deseada en el grupo de usuarios y las herramientas de configuración para detener automáticamente cualquier actividad potencialmente maliciosa. Tras crear un grupo de usuarios de Amazon Cognito, puede activar la protección contra amenazas con un modo de aplicación con todas las funciones para una autenticación personalizada y personalizar las acciones que se toman en respuesta a los diferentes riesgos. El modo con todas las funciones incluye un conjunto de reacciones automáticas para detectar actividades no deseadas y contraseñas comprometidas.

### Corrección
<a name="cognito-4-remediation"></a>

Para obtener información sobre cómo activar la protección contra amenazas para un grupo de usuarios de Amazon Cognito, consulte [Seguridad avanzada con protección contra amenazas](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) en la *Guía del desarrollador de Amazon Cognito*.

## [Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
<a name="cognito-5"></a>

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación multifactorial

**Gravedad:** media

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de usuarios de Amazon Cognito configurado con una política de inicio de sesión solo con contraseña tiene habilitada la autenticación multifactor (MFA). El control falla si el grupo de usuarios configurado con una política de inicio de sesión solo con contraseña no tiene habilitada la MFA.

La autenticación multifactor (MFA) añade un factor de autenticación de algo que tienes al factor de algo que sabes (normalmente nombre de usuario y contraseña). Para los usuarios federados, Amazon Cognito delega la autenticación en el proveedor de identidad (IdP) y no ofrece factores de autenticación adicionales. Sin embargo, si tiene usuarios locales con autenticación por contraseña, la configuración de MFA para el grupo de usuarios aumenta su seguridad.

**nota**  
Este control no se aplica a los usuarios federados ni a los usuarios que inician sesión sin contraseña.

### Corrección
<a name="cognito-5-remediation"></a>

*Para obtener información sobre cómo configurar MFA para un grupo de usuarios de Amazon Cognito, consulte [Añadir MFA a un grupo de usuarios en la Guía para desarrolladores](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) de Amazon Cognito.*

## [Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones
<a name="cognito-6"></a>

**Categoría:** Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** media

**Tipo de recurso:** `AWS::Cognito::UserPool`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de usuarios de Amazon Cognito tiene habilitada la protección contra eliminaciones. El control falla si la protección contra la eliminación está deshabilitada para el grupo de usuarios.

La protección contra la eliminación ayuda a garantizar que su grupo de usuarios no se elimine accidentalmente. Al configurar un grupo de usuarios con protección contra la eliminación, ningún usuario puede eliminarlo. La protección contra la eliminación le impide solicitar la eliminación de un grupo de usuarios a menos que primero modifique el grupo y desactive la protección contra la eliminación.

### Corrección
<a name="cognito-6-remediation"></a>

Para configurar la protección contra la eliminación de un grupo de usuarios de Amazon Cognito, consulte [Protección contra la eliminación de grupos de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html) en la Guía *para desarrolladores de Amazon Cognito*.

# Controles CSPM de Security Hub para AWS Config
<a name="config-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS Config servicio y los recursos.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos
<a name="config-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.3, CIS AWS Foundations Benchmark v1.2.0/2.5, CIS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, NIst.800-53.r5 CM-3, NIst.800-53.r5 CM-6 (1), NISt.800-53.r5 CM-8 (2), PCI AWS DSS v3.8 2.1/10.5.2, PCI DSS v3.2.1/11.5

**Categoría:** Identificar - Inventario

**Gravedad:** crítica

**Tipo de recurso:** `AWS::::Account`

**AWS Config regla:** Ninguna (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `includeConfigServiceLinkedRoleCheck`  |  El control no evalúa si AWS Config utiliza el rol vinculado al servicio si el parámetro está establecido en. `false`  |  Booleano  |  `true` o `false`  |  `true`  | 

Este control comprueba si AWS Config está habilitado en su cuenta en la actual Región de AWS, registra todos los recursos que corresponden a los controles que están habilitados en la región actual y utiliza el rol vinculado al [servicio AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html). El nombre del rol vinculado al servicio es. **AWSServiceRoleForConfig** Si no usa el rol vinculado al servicio y no establece el `includeConfigServiceLinkedRoleCheck` parámetro en`false`, el control fallará porque es posible que otros roles no tengan los permisos necesarios AWS Config para registrar sus recursos con precisión.

El AWS Config servicio gestiona la configuración de AWS los recursos compatibles de tu cuenta y te entrega los archivos de registro. La información registrada incluye el elemento de configuración (AWS recurso), las relaciones entre los elementos de configuración y cualquier cambio de configuración en los recursos. Los recursos globales son recursos que están disponibles en cualquier región.

El control se evalúa de la siguiente manera:
+ Si la región actual está configurada como su [región de agregación](finding-aggregation.md), el control solo produce `PASSED` resultados si se registran los recursos globales AWS Identity and Access Management (de IAM) (si ha activado los controles que los requieren).
+ Si la región actual está configurada como una región vinculada, el control no evalúa si se registran recursos globales de IAM.
+ Si la región actual no está en su agregador o si la agregación entre regiones no está configurada en la cuenta, el control solo produce resultados `PASSED` si se registran los recursos globales de IAM (si ha habilitado los controles que los requieren).

Los resultados del control no se ven afectados por el registro diario o continuo de los cambios en el estado de los recursos en AWS Config. Sin embargo, los resultados de este control pueden cambiar cuando se lanzan controles nuevos si se ha configurado la habilitación automática de los nuevos controles o si se cuenta con una política de configuración centralizada que habilita automáticamente los controles nuevos. En estos casos, si no registra todos los recursos, debe configurar el registro de los recursos asociados a los nuevos controles para recibir un resultado `PASSED`.

Las comprobaciones de seguridad CSPM de Security Hub funcionan según lo previsto solo si se habilita AWS Config en todas las regiones y se configura el registro de recursos para los controles que lo requieren.

**nota**  
La configuración 1 requiere que AWS Config esté habilitada en todas las regiones en las que utilice Security Hub CSPM.  
Dado que Security Hub CSPM es un servicio regional, la comprobación realizada para este control solo evalúa la región actual de la cuenta.  
Para admitir los controles de seguridad en recursos globales de IAM de una región, debe registrar los recursos globales de IAM en esa región. Las regiones en las que no se hayan registrado los recursos globales de IAM recibirán un resultado `PASSED` predeterminado por los controles que comprueban los recursos globales de IAM. Como los recursos globales de IAM son idénticos en todas las regiones Regiones de AWS, le recomendamos que registre los recursos globales de IAM únicamente en la región de origen (si la agregación entre regiones está habilitada en su cuenta). Los recursos de IAM solo se registrarán en la región en la que esté activado el registro de recursos globales.  
Los tipos de recursos de IAM registrados a nivel mundial que AWS Config admite son los usuarios, los grupos, las funciones y las políticas gestionadas por los clientes de IAM. Puede considerar la posibilidad de deshabilitar los controles CSPM de Security Hub que comprueban estos tipos de recursos en las regiones en las que el registro de recursos globales está desactivado. Para obtener más información, consulte [Controles sugeridos para desactivar en el CSPM de Security Hub](controls-to-disable.md).

### Corrección
<a name="config-1-remediation"></a>

En la región de origen y en las regiones que no forman parte de un agregador, registre todos los recursos necesarios para los controles que están habilitados en la región actual, incluidos los recursos globales de IAM si ha habilitado los controles que requieren recursos globales de IAM.

En las regiones vinculadas, puede utilizar cualquier modo de AWS Config grabación, siempre que registre todos los recursos que correspondan a los controles que estén habilitados en la región actual. En las regiones vinculadas, si tiene habilitados controles que requieren el registro de recursos globales de IAM, no recibirá un resultado `FAILED` (el registro de otros recursos es suficiente).

El campo `StatusReasons` en el objeto `Compliance` del resultado puede ayudarle a determinar por qué tiene un resultado fallido para este control. Para obtener más información, consulte [Detalles de cumplimiento para los resultados de control](controls-findings-create-update.md#control-findings-asff-compliance).

Para obtener una lista de los recursos que deben registrarse para cada control, consulte [AWS Config Recursos necesarios para los hallazgos de control](controls-config-resources.md). Para obtener información general sobre cómo habilitar AWS Config y configurar el registro de recursos, consulte[Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md).

# Controles CSPM de Security Hub para Amazon Connect
<a name="connect-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Connect.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
<a name="connect-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::CustomerProfiles::ObjectType`

**Regla de AWS Config : ** `customerprofiles-object-type-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un tipo de objeto de Perfiles de clientes de Amazon Connect tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si el tipo de objeto no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el tipo de objeto no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="connect-1-remediation"></a>

Para agregar etiquetas a un tipo de objeto de Perfiles de clientes, consulte [Cómo agregar etiquetas a recursos en Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html) en la *Guía del administrador de Amazon Connect*.

## [Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
<a name="connect-2"></a>

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::Connect::Instance`

**Regla de AWS Config : ** [connect-instance-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/connect-instance-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instancia de Amazon Connect está configurada para generar y almacenar registros de flujo en un grupo de CloudWatch registros de Amazon. El control falla si la instancia de Amazon Connect no está configurada para generar y almacenar registros de flujo en un grupo de CloudWatch registros.

Los registros de flujo de Amazon Connect proporcionan detalles en tiempo real sobre eventos en los flujos de Amazon Connect. Un *flujo* define la experiencia del cliente con un centro de contacto de Amazon Connect de principio a fin. De forma predeterminada, al crear una nueva instancia de Amazon Connect, se crea automáticamente un grupo de CloudWatch registros de Amazon para almacenar los registros de flujo de la instancia. Los registros de flujo pueden ayudar a analizar flujos, encontrar errores y supervisar métricas operativas. También puede configurar alertas para eventos específicos que pueden ocurrir en un flujo.

### Corrección
<a name="connect-2-remediation"></a>

Para obtener información sobre cómo habilitar los registros de flujo para una instancia de Amazon Connect, consulte [Habilitar los registros de flujo de Amazon Connect en un grupo de CloudWatch registros](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs.html) de *Amazon en la Guía del administrador de Amazon Connect*.

# Controles CSPM de Security Hub para Amazon Data Firehose
<a name="datafirehose-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Data Firehose.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
<a name="datafirehose-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-3, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 AC-3, NIST.800-53.r5 SC-1 3, 8 NIST.800-53.r5 SC-2

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::KinesisFirehose::DeliveryStream`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno 

Este control comprueba si un flujo de entrega de Amazon Data Firehose está cifrado en reposo con el cifrado del servidor. Este control falla si un flujo de entrega de Firehose no se cifra en reposo con el cifrado del servidor.

El cifrado del lado del servidor es una función de las transmisiones de entrega de Amazon Data Firehose que cifra automáticamente los datos antes de que estén en reposo mediante una clave creada en (). AWS Key Management Service AWS KMS Los datos se cifran antes de transmitirlos a la capa de almacenamiento del flujo de Data Firehose, y se descifran después de recuperarlos del almacenamiento. Esto permite cumplir con los requisitos normativos estrictos y mejorar la seguridad de sus datos.

### Corrección
<a name="datafirehose-1-remediation"></a>

Para habilitar el cifrado del servidor en los flujos de entrega de Firehose, consulte [Protección de datos en Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html) en la *Guía para desarrolladores de Amazon Data Firehose*.

# Controles CSPM de Security Hub para AWS Database Migration Service
<a name="dms-controls"></a>

Estos AWS Security Hub CSPM controles evalúan los AWS Database Migration Service (AWS DMS) y AWS DMS los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
<a name="dms-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.2 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica

**Tipo de recurso:** `AWS::DMS::ReplicationInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si las instancias de AWS DMS replicación son públicas. Para ello, examina el valor del campo `PubliclyAccessible`.

Una instancia de replicación privada tiene una dirección IP privada a la que no puede obtener acceso desde fuera de la red de replicación. Una instancia de replicación debe tener una dirección IP privada cuando las bases de datos de origen y destino estén en la misma red. La red también debe estar conectada a la VPC de la instancia de replicación mediante una VPN o un emparejamiento Direct Connect de VPC. Para obtener más información sobre las instancias de replicación públicas y privadas, consulte las instancias de [Replicación públicas y privadas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate) en la *Guía del usuario de AWS Database Migration Service *.

También debes asegurarte de que el acceso a la configuración de tu AWS DMS instancia esté limitado únicamente a los usuarios autorizados. Para ello, restrinja los permisos de IAM de los usuarios para modificar la AWS DMS configuración y los recursos.

### Corrección
<a name="dms-1-remediation"></a>

No puede cambiar la configuración de acceso público de una instancia de replicación del DMS después de crearla. Para cambiar la configuración de acceso público, [elimine la instancia actual](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Deleting.html) y, a continuación, [vuelva a crearla](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Creating.html). No seleccione la opción de **Acceso público**.

## [DMS.2] Los certificados DMS deben estar etiquetados
<a name="dms-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::DMS::Certificate`

**AWS Config regla:** `tagged-dms-certificate` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un AWS DMS certificado tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el certificado no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el certificado no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="dms-2-remediation"></a>

Para agregar etiquetas a un certificado DMS, consulte [Etiquetado de recursos en AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
<a name="dms-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::DMS::EventSubscription`

**AWS Config regla:** `tagged-dms-eventsubscription` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si la suscripción a un AWS DMS evento tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si la suscripción a un evento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si la suscripción a un evento no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="dms-3-remediation"></a>

Para agregar etiquetas a una inscripción a un evento, consulte [Etiquetado de recursos en AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.4] Las instancias de replicación de DMS deben etiquetarse
<a name="dms-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::DMS::ReplicationInstance`

**AWS Config regla:** `tagged-dms-replicationinstance` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una instancia de AWS DMS replicación tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si la instancia de replicación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si la instancia de replicación no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="dms-4-remediation"></a>

Para agregar etiquetas a una instancia de replicación, consulte [Etiquetado de recursos en AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
<a name="dms-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::DMS::ReplicationSubnetGroup`

**AWS Config regla:** `tagged-dms-replicationsubnetgroup` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un grupo de subredes de AWS DMS replicación tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el grupo de subredes de replicación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el grupo de subredes de replicación no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="dms-5-remediation"></a>

Para agregar etiquetas a un grupo de subredes de replicación, consulte [Etiquetado de recursos en AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias
<a name="dms-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::ReplicationInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la actualización automática de la versión secundaria está habilitada para una instancia de AWS DMS replicación. El control falla si la actualización automática de la versión secundaria no está habilitada para una instancia de replicación del DMS.

El DMS proporciona una actualización automática de las versiones secundarias a cada motor de replicación compatible para que pueda conservar su instancia up-to-date de replicación. Las versiones secundarias pueden introducir nuevas funciones de software, correcciones de errores, parches de seguridad y mejoras de rendimiento. Al habilitar la actualización automática de las versiones secundarias en las instancias de replicación del DMS, las actualizaciones menores se aplican automáticamente durante el período de mantenimiento o inmediatamente si se selecciona la opción **Aplicar los cambios inmediatamente**.

### Corrección
<a name="dms-6-remediation"></a>

Para habilitar la actualización automática de la versión secundaria en las instancias de replicación del DMS, consulte [Modificación de una instancia de replicación](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro
<a name="dms-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIst.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIst.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::ReplicationTask`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el registro está habilitado con el nivel de gravedad mínimo `LOGGER_SEVERITY_DEFAULT` para las tareas de replicación del DMS `TARGET_APPLY` y `TARGET_LOAD`. El control falla si el registro no está habilitado para estas tareas o si el nivel de gravedad mínimo es inferior a `LOGGER_SEVERITY_DEFAULT`.

DMS utiliza Amazon CloudWatch para registrar la información durante el proceso de migración. Con la configuración de tareas de registro, puede especificar qué actividades de componentes se registran y qué cantidad de información se registra. Debe especificar el registro para las siguientes tareas:
+ `TARGET_APPLY`: los datos e instrucciones de lenguaje de definición de datos (DDL) se aplican a la base de datos de destino.
+ `TARGET_LOAD`: Los datos se cargan en la base de datos destino.

El registro desempeña un papel fundamental en las tareas de replicación del DMS, ya que permite la supervisión, la solución de problemas, la auditoría, el análisis del rendimiento, la detección de errores y la recuperación, así como el análisis histórico y la elaboración de informes. Ayuda a garantizar la replicación exitosa de los datos entre bases de datos y, al mismo tiempo, a mantener la integridad de los datos y el cumplimiento de los requisitos reglamentarios. Los niveles de registro que no estén fijados como `DEFAULT` suelen ser necesarios para estos componentes durante la resolución de problemas. Recomendamos mantener el nivel de registro igual que `DEFAULT` para estos componentes, a menos que se solicite específicamente cambiarlo Soporte. Un nivel de registro mínimo como `DEFAULT` garantiza que los mensajes informativos, las advertencias y los mensajes de error se escriban en los registros. Este control comprueba si el nivel de registro es al menos uno de los siguientes para las tareas de replicación anteriores: `LOGGER_SEVERITY_DEFAULT`, `LOGGER_SEVERITY_DEBUG` o `LOGGER_SEVERITY_DETAILED_DEBUG`.

### Corrección
<a name="dms-7-remediation"></a>

Para habilitar el registro de las tareas de replicación del DMS de la base de datos de destino, consulte [Visualización y administración de los registros de AWS DMS tareas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) en la Guía del *AWS Database Migration Service usuario*.

## [DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro
<a name="dms-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIst.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIst.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::ReplicationTask`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el registro está habilitado con el nivel de gravedad mínimo `LOGGER_SEVERITY_DEFAULT` para las tareas de replicación del DMS `SOURCE_CAPTURE` y `SOURCE_UNLOAD`. El control falla si el registro no está habilitado para estas tareas o si el nivel de gravedad mínimo es inferior a `LOGGER_SEVERITY_DEFAULT`.

DMS utiliza Amazon CloudWatch para registrar la información durante el proceso de migración. Con la configuración de tareas de registro, puede especificar qué actividades de componentes se registran y qué cantidad de información se registra. Debe especificar el registro para las siguientes tareas:
+ `SOURCE_CAPTURE`: Los datos de replicación continua o captura de datos modificados (CDC) se capturan de la base de datos o el servicio de origen y se transfieren al componente de servicio de `SORTER`.
+ `SOURCE_UNLOAD`: Los datos se descargan de la base de datos o del servicio de origen durante la carga completa.

El registro desempeña un papel fundamental en las tareas de replicación del DMS, ya que permite la supervisión, la solución de problemas, la auditoría, el análisis del rendimiento, la detección de errores y la recuperación, así como el análisis histórico y la elaboración de informes. Ayuda a garantizar la replicación exitosa de los datos entre bases de datos y, al mismo tiempo, a mantener la integridad de los datos y el cumplimiento de los requisitos reglamentarios. Los niveles de registro que no estén fijados como `DEFAULT` suelen ser necesarios para estos componentes durante la resolución de problemas. Recomendamos mantener el nivel de registro igual que `DEFAULT` para estos componentes, a menos que se solicite específicamente cambiarlo Soporte. Un nivel de registro mínimo como `DEFAULT` garantiza que los mensajes informativos, las advertencias y los mensajes de error se escriban en los registros. Este control comprueba si el nivel de registro es al menos uno de los siguientes para las tareas de replicación anteriores: `LOGGER_SEVERITY_DEFAULT`, `LOGGER_SEVERITY_DEBUG` o `LOGGER_SEVERITY_DETAILED_DEBUG`.

### Corrección
<a name="dms-8-remediation"></a>

Para habilitar el registro de las tareas de replicación del DMS de la base de datos fuente, consulte [Visualización y administración de los registros de AWS DMS tareas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) en la Guía del *AWS Database Migration Service usuario*.

## [DMS.9] Los puntos finales del DMS deben usar SSL
<a name="dms-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-1 3 NIST.800-53.r5 AC-4, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::Endpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un AWS DMS punto final utiliza una conexión SSL. El control falla si el punto de conexión no usa SSL.

Las conexiones SSL y TLS proporcionan una capa de seguridad al cifrar las conexiones entre las instancias de replicación de DMS y su base de datos. El uso de certificados brinda una capa extra de seguridad al validar que la conexión se realice en una base de datos esperada. Se hace al verificar que el certificado de servidor se instale automáticamente en todas las instancias de base de datos que usted aprovisiona. Al habilitar la conexión SSL en los puntos de conexión del DMS, se protege la confidencialidad de los datos durante la migración.

### Corrección
<a name="dms-9-remediation"></a>

Para añadir una conexión SSL a un punto de conexión de DMS nuevo o existente, consulte [Uso de SSL de AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.SSL.html#CHAP_Security.SSL.Procedure) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM
<a name="dms-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2,, NIST.800-53.r5 AC-1 7 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6, PCI NIST.800-53.r5 IA-2 DSS NIST.800-53.r5 IA-5 v4.0.1/7.3.1

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::Endpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un AWS DMS punto final de una base de datos de Amazon Neptune está configurado con autorización de IAM. El control falla si el punto de conexión de DMS no tiene habilitada la autorización de IAM.

AWS Identity and Access Management (IAM) proporciona un control de acceso detallado en todas partes. AWS Con IAM, puede especificar quién puede acceder a qué servicios y recursos y en qué condiciones. Con las políticas de IAM, puede administrar los permisos del personal y sus sistemas para garantizar los permisos con privilegio mínimo. Al habilitar la autorización de IAM en AWS DMS los puntos finales de las bases de datos de Neptune, puede conceder privilegios de autorización a los usuarios de IAM mediante un rol de servicio especificado en el parámetro. `ServiceAccessRoleARN`

### Corrección
<a name="dms-10-remediation"></a>

Para habilitar la autorización de IAM en los puntos de conexión de DMS para las bases de datos de Neptune, consulte [Uso de Amazon Neptune como destino para AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Neptune.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
<a name="dms-11"></a>

**Requisitos relacionados: NIST.800-53.r5 AC-3,,, PCI DSS** NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 v4.0.1/7.3.1 NIST.800-53.r5 IA-5

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::Endpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un AWS DMS punto final para MongoDB está configurado con un mecanismo de autenticación. El control falla si no se estableció un tipo de autenticación para el punto de conexión.

AWS Database Migration Service **admite dos métodos de autenticación para MongoDB: **MONGODB-CR para MongoDB versión 2.x** y SCRAM-SHA-1 para MongoDB versión 3.x o posterior.** Estos métodos de autenticación se utilizan para autenticar y cifrar las contraseñas de MongoDB si los usuarios desean utilizarlas para acceder a las bases de datos. La autenticación en los AWS DMS puntos finales garantiza que solo los usuarios autorizados puedan acceder a los datos que se migran entre bases de datos y modificarlos. Sin la autenticación adecuada, los usuarios no autorizados pueden acceder a datos confidenciales durante el proceso de migración. Esto puede provocar filtraciones de datos, pérdida de datos u otros incidentes de seguridad.

### Corrección
<a name="dms-11-remediation"></a>

Para habilitar un mecanismo de autenticación en los puntos de conexión de DMS para MongoDB, consulte [Uso de MongoDB como origen en AWS DMS](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.MongoDB.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
<a name="dms-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, PCI DSS v4.0.1/4.2.1

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::Endpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un AWS DMS punto final para Redis OSS está configurado con una conexión TLS. El control falla si el punto de conexión no tiene habilitado el TLS.

El TLS proporciona end-to-end seguridad cuando los datos se envían entre aplicaciones o bases de datos a través de Internet. Al configurar el cifrado SSL para su punto de conexión de DMS, permite la comunicación cifrada entre las bases de datos de origen y destino durante el proceso de migración. Esto ayuda a evitar el espionaje y la interceptación de datos confidenciales por parte de actores malintencionados. Sin el cifrado SSL, se puede acceder a los datos confidenciales, lo que provoca filtraciones de datos, pérdida de datos u otros incidentes de seguridad.

### Corrección
<a name="dms-12-remediation"></a>

Para habilitar una conexión TLS en los puntos de conexión de DMS para Redis, consulte [Uso de Redis como destino para AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Redis.html) en la *Guía del usuario de AWS Database Migration Service *.

## [DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad
<a name="dms-13"></a>

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::DMS::ReplicationInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instancia de replicación AWS Database Migration Service (AWS DMS) está configurada para usar varias zonas de disponibilidad (implementación Multi-AZ). El control falla si la instancia de replicación de AWS DMS no está configurada para usar una implementación Multi-AZ.

En una implementación en zonas de disponibilidad múltiples, AWS DMS aprovisiona y mantiene automáticamente una réplica en espera de una instancia de replicación en una zona de disponibilidad (AZ) diferente. La instancia de replicación principal se replica luego de manera sincronizada en la réplica en espera. Si la instancia de replicación principal falla o no responde, la instancia en espera reanuda cualquier tarea en ejecución con una interrupción mínima. Para obtener más información, consulte [Uso de una instancia de replicación](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html) en la *Guía del usuario de AWS Database Migration Service *.

### Corrección
<a name="dms-13-remediation"></a>

Después de crear una instancia de AWS DMS replicación, puede cambiar la configuración de implementación en zonas de disponibilidad múltiples (Multi-AZ) de la misma. Para obtener información sobre cómo cambiar esta y otras configuraciones de una instancia de replicación existente, consulte [Modificación de una instancia de replicación](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) en la *Guía del usuario de AWS Database Migration Service *.

# Controles CSPM de Security Hub para AWS DataSync
<a name="datasync-controls"></a>

Estos controles CSPM de Security Hub evalúan el AWS DataSync servicio y los recursos. Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [DataSync.1] DataSync las tareas deberían tener el registro activado
<a name="datasync-1"></a>

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::DataSync::Task`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una AWS DataSync tarea tiene activado el registro. El control falla si la tarea no tiene habilitado el registro.

Los registros de auditoría rastrean y supervisan las actividades del sistema. Proporcionan un registro de los eventos que puede ayudarlo a detectar brechas de seguridad, investigar incidentes y cumplir con las normativas. Los registros de auditoría también mejoran la responsabilidad y la transparencia generales de su organización.

### Corrección
<a name="datasync-1-remediation"></a>

Para obtener información sobre cómo configurar el registro para AWS DataSync las tareas, consulte [Supervisión de las transferencias de datos con Amazon CloudWatch Logs](https://docs.aws.amazon.com/datasync/latest/userguide/configure-logging.html) en la *Guía del AWS DataSync usuario*.

## [DataSync.2] DataSync las tareas deben estar etiquetadas
<a name="datasync-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::DataSync::Task`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si una AWS DataSync tarea tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si la tarea no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si la tarea no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="datasync-2-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a una AWS DataSync tarea, consulte [Etiquetar AWS DataSync las tareas](https://docs.aws.amazon.com/datasync/latest/userguide/tagging-tasks.html) en la *Guía del AWS DataSync usuario*.

# Controles CSPM de Security Hub para Amazon Detective
<a name="detective-controls"></a>

Este AWS Security Hub CSPM control evalúa el servicio y los recursos de Amazon Detective. Es posible que el control no esté disponible en todas las Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
<a name="detective-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Detective::Graph`

**AWS Config regla:** `tagged-detective-graph` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un gráfico de comportamiento de Amazon Detective tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el gráfico de comportamiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el gráfico de comportamiento no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="detective-1-remediation"></a>

Para agregar etiquetas a un gráfico de comportamiento de Detective, consulte [Agregar etiquetas a un gráfico de comportamiento](https://docs.aws.amazon.com/detective/latest/adminguide/graph-tags.html#graph-tags-add-console) en la *Guía de administración de Amazon Detective*.

# Controles de CSPM de Security Hub para Amazon DocumentDB
<a name="documentdb-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon DocumentDB (compatible con MongoDB). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
<a name="documentdb-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon DocumentDB está cifrado en reposo. El control falla si un clúster de Amazon DocumentDB no está cifrado en reposo.

Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado acceda a ellos. Los datos de los clústeres de Amazon DocumentDB deben cifrarse en reposo para ofrecer un nivel de seguridad adicional. Amazon DocumentDB utiliza el estándar de cifrado avanzado de 256 bits (AES-256) para cifrar los datos mediante claves de cifrado almacenadas en AWS Key Management Service (AWS KMS).

### Corrección
<a name="documentdb-1-remediation"></a>

Puede habilitar el cifrado en reposo al crear un clúster de Amazon DocumentDB. No se puede cambiar la configuración de cifrado después de crear un clúster. Para obtener más información, consulte [Habilitar el cifrado en reposo para un clúster de Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling) en la *Guía para desarrolladores de Amazon DocumentDB*.

## [DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado
<a name="documentdb-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-12, PCI DSS v4.0.1/3.2.1

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  El periodo mínimo de retención de copias de seguridad en días  |  Entero  |  De `7` a `35`  |  `7`  | 

Este control comprueba si un clúster de Amazon DocumentDB tiene un periodo de retención de copias de seguridad superior o igual al periodo especificado. Se produce un error en el control si el periodo de retención de copia de seguridad es inferior al periodo especificado. A menos que proporcione un valor de parámetro personalizado para el período de retención de la copia de seguridad, Security Hub CSPM utiliza un valor predeterminado de 7 días.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad y a reforzar la resiliencia de sus sistemas. Al automatizar las copias de seguridad de los clústeres de Amazon DocumentDB, podrá restaurar los sistemas en un momento determinado y minimizar el tiempo de inactividad y la pérdida de datos. En Amazon DocumentDB, los clústeres tienen un periodo predeterminado de retención de copia de seguridad de 1 día. Debe aumentarse a un valor de entre 7 y 35 días para superar este control.

### Corrección
<a name="documentdb-2-remediation"></a>

Para cambiar el período de retención de copias de seguridad de sus clústeres de Amazon DocumentDB, consulte [Modificación de un clúster de Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) en la *Guía para desarrolladores de Amazon DocumentDB*. En **Copia de seguridad**, elija el periodo de retención de copia de seguridad.

## [DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
<a name="documentdb-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instantánea de clúster manual de Amazon DocumentDB es pública. El control falla si la instantánea manual del clúster es pública.

Una instantánea manual de un clúster de Amazon DocumentDB no debe ser pública a menos que se pretenda. Si comparte una instantánea manual sin cifrar públicamente, la instantánea estará disponible para todo Cuentas de AWS. Las instantáneas públicas pueden provocar una exposición no intencionada de los datos.

**nota**  
Este control evalúa las instantáneas de clúster manuales. No se pueden compartir instantáneas automatizadas de un clúster de Amazon DocumentDB. Sin embargo, puede crear una instantánea manual copiando la instantánea automatizada y compartiéndola después.

### Corrección
<a name="documentdb-3-remediation"></a>

Para eliminar el acceso público a las instantáneas de clústeres manuales de Amazon DocumentDB, consulte [Compartir una instantánea](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots) en la *Guía para desarrolladores de Amazon DocumentDB*. Mediante programación, puede utilizar la operación Amazon DocumentDB de `modify-db-snapshot-attribute`. Establecer `attribute-name` en `restore` y `values-to-remove` en `all`.

## [DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch
<a name="documentdb-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.3.3

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon DocumentDB publica registros de auditoría en Amazon CloudWatch Logs. El control falla si el clúster no publica los registros de auditoría en CloudWatch Logs.

Amazon DocumentDB (con compatibilidad con MongoDB) le permite auditar eventos que se realizaron en su clúster. Los intentos de autenticación correctos e incorrectos, la eliminación de una colección en una base de datos o la creación de un índice son algunos ejemplos de eventos registrados. De forma predeterminada, la auditoría está deshabilitada en Amazon DocumentDB y requiere que tome medidas para habilitarla.

### Corrección
<a name="documentdb-4-remediation"></a>

Para publicar los registros de auditoría de Amazon DocumentDB en Logs, consulte [Habilitar la auditoría](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing) en la Guía para CloudWatch desarrolladores de *Amazon DocumentDB*.

## [DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones
<a name="documentdb-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon DocumentDB tiene habilitada la protección contra eliminación. El control falla si el clúster no tiene habilitada la protección contra eliminación.

La activación de la protección contra la eliminación de clústeres ofrece un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de un usuario no autorizado. No se puede eliminar un clúster de Amazon DocumentDB mientras esté habilitada la protección contra eliminación. Primero debe deshabilitar la protección contra la eliminación para que la solicitud de eliminación se pueda realizar correctamente. La protección contra eliminación se habilita de forma predeterminada cuando crea un clúster mediante la consola de Amazon DocumentDB.

### Corrección
<a name="documentdb-5-remediation"></a>

Para habilitar la protección contra la eliminación de un clúster de Amazon DocumentDB existente, consulte [Modificación de un clúster de Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) en la *Guía para desarrolladores de Amazon DocumentDB*. En la sección **Modificar el clúster**, seleccione **Habilitar** la **Protección contra la eliminación**.

## [DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
<a name="documentdb-6"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)

**Tipo de programa:** Periódico

**Parámetros**: `excludeTlsParameters`: `disabled`, `enabled` (no personalizables)

Este control comprueba si un clúster de Amazon DocumentDB requiere TLS para las conexiones al clúster. El control falla si el grupo de parámetros del clúster asociado con el clúster no está sincronizado, o si el parámetro TLS del clúster está configurado en `disabled` o `enabled`.

Puede usar TLS para cifrar la conexión entre una aplicación y un clúster de Amazon DocumentDB. El uso de TLS puede ayudar a proteger los datos de ser interceptados mientras están en tránsito entre una aplicación y un clúster de Amazon DocumentDB. El cifrado en tránsito para un clúster de Amazon DocumentDB se administra mediante el parámetro TLS en el grupo de parámetros del clúster asociado al clúster. Cuando se habilita el cifrado en tránsito, se requieren conexiones seguras con TLS para conectarse al clúster. Recomendamos usar los siguientes parámetros TLS: `tls1.2+`, `tls1.3+` y `fips-140-3`.

### Corrección
<a name="documentdb-6-remediation"></a>

Para obtener información sobre cómo cambiar la configuración de TLS para un clúster de Amazon DocumentDB, consulte [Cifrado de datos en tránsito](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html) en la *Guía del desarrollador de Amazon DocumentDB*.

# Controles CSPM de Security Hub para DynamoDB
<a name="dynamodb-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon DynamoDB. Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda
<a name="dynamodb-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NiST.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::DynamoDB::Table`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados válidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minProvisionedReadCapacity`  |  Número mínimo de unidades de capacidad de lectura aprovisionadas para el escalado automático de DynamoDB  |  Entero  |  De `1` a `40000`  |  Sin valor predeterminado  | 
|  `targetReadUtilization`  |  Porcentaje de uso objetivo de capacidad de lectura  |  Entero  |  De `20` a `90`  |  Sin valor predeterminado  | 
|  `minProvisionedWriteCapacity`  |  Número mínimo de unidades de capacidad de escritura aprovisionadas para el escalado automático de DynamoDB  |  Entero  |  De `1` a `40000`  |  Sin valor predeterminado  | 
|  `targetWriteUtilization`  |  Porcentaje de uso objetivo de capacidad de escritura  |  Entero  |  De `20` a `90`  |  Sin valor predeterminado  | 

Este control comprueba si una tabla de Amazon DynamoDB puede escalar su capacidad de lectura y escritura según sea necesario. Se produce un error en el control si la tabla utiliza el modo de capacidad bajo demanda o el modo aprovisionado con el escalado automático configurado. De manera predeterminada, este control solo requiere que se configure uno de estos modos, independientemente de los niveles específicos de la capacidad de lectura o escritura. De manera opcional, puede proporcionar valores personalizados de parámetros para requerir niveles específicos de la capacidad de lectura y escritura o de utilización objetivo.

Escalar la capacidad en función de la demanda evita limitar las excepciones, lo que ayuda a mantener la disponibilidad de las aplicaciones. Las tablas de DynamoDB que usan el modo de capacidad bajo demanda solo están limitadas por las cuotas predeterminadas de rendimiento de las tablas de DynamoDB. Para aumentar estas cuotas, puede presentar una solicitud de asistencia en. Soporte Las tablas de DynamoDB que usan el modo aprovisionado con escalado automático ajustan la capacidad de rendimiento aprovisionada de forma dinámica de acuerdo con los patrones de tráfico. Para obtener más información acerca de la limitación de solicitudes de DynamoDB, consulte [Limitación controlada de solicitudes y capacidad de ampliación](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling) en la *Guía para desarrolladores de Amazon DynamoDB*.

### Corrección
<a name="dynamodb-1-remediation"></a>

Para habilitar el escalado automático de DynamoDB en tablas existentes en el modo de capacidad, consulte [Habilitación de la función Auto Scaling de DynamoDB en tablas existentes](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable) en la *Guía para desarrolladores de Amazon DynamoDB*.

## [DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time
<a name="dynamodb-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), niST.800-53.r5 SI-12, niST.800-53.r5 SI-13 (5)

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Gravedad:** media

**Tipo de recurso:** `AWS::DynamoDB::Table`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la point-in-time recuperación (PITR) está habilitada para una tabla de Amazon DynamoDB.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La recuperación de point-in-time DynamoDB automatiza las copias de seguridad de las tablas de DynamoDB. Reduce el tiempo de recuperación tras operaciones de borrado o escritura accidentales. Las tablas de DynamoDB que tienen PITR habilitada se pueden restaurar a cualquier momento de los últimos 35 días.

### Corrección
<a name="dynamodb-2-remediation"></a>

Para restaurar una tabla de DynamoDB a un punto en el tiempo, consulte [Restauración de una tabla de DynamoDB a un punto en el tiempo](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html) en la *Guía para desarrolladores de Amazon DynamoDB*.

## [DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
<a name="dynamodb-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::DAX::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un clúster de Acelerador de Amazon DynamoDB (DAX) está cifrado en reposo. El control lanza un error si un clúster de DAX no está cifrado en reposo.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. AWS El cifrado añade otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para descifrar los datos antes de que puedan leerse.

### Corrección
<a name="dynamodb-3-remediation"></a>

No puede habilitar o deshabilitar el cifrado en reposo después de haber creado un clúster. Debe volver a crear el clúster para habilitar el cifrado en reposo. Para obtener instrucciones detalladas sobre cómo crear un clúster de DAX con el cifrado en reposo activado, consulte [Habilitar el cifrado en reposo mediante la Consola de administración de AWS](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console) en la *Guía para desarrolladores de Amazon DynamoDB*.

## [DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
<a name="dynamodb-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-12, NISt.800-53.r5 SI-13 (5)

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Gravedad:** media

**Tipo de recurso:** `AWS::DynamoDB::Table`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html)**``

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  El control determina si el parámetro está establecido en AWS Backup Vault Lock `true` y el recurso lo utiliza. `PASSED`  |  Booleano  |  `true` o `false`  |  Sin valor predeterminado  | 

Este control evalúa si una tabla de Amazon DynamoDB en estado `ACTIVE` está cubierta por un plan de copias de seguridad. Se produce un error en el control si la tabla de DynamoDB no está cubierta por un plan de copias de seguridad. Si establece el `backupVaultLockCheck` parámetro en un valor igual a`true`, el control solo pasa si la tabla de DynamoDB está guardada en AWS Backup un almacén cerrado.

AWS Backup es un servicio de copias de seguridad totalmente gestionado que le ayuda a centralizar y automatizar las copias de seguridad de todos los datos. Servicios de AWS Con AWS Backupél, puede crear planes de respaldo que definan sus requisitos de respaldo, como la frecuencia con la que debe realizar copias de seguridad de sus datos y cuánto tiempo debe conservarlas. La inclusión de tablas de DynamoDB en sus planes de copia de seguridad le ayuda a proteger sus datos de pérdidas o eliminaciones involuntarias.

### Corrección
<a name="dynamodb-4-remediation"></a>

*Para agregar una tabla de DynamoDB a AWS Backup un plan de respaldo, [consulte Asignación de recursos a un plan de respaldo en la Guía para](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) desarrolladores.AWS Backup *

## [DynamoDB.5] Las tablas de DynamoDB deben etiquetarse
<a name="dynamodb-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::DynamoDB::Table`

**AWS Config regla:** `tagged-dynamodb-table` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una tabla de Amazon DynamoDB tiene etiquetas con claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la tabla no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la tabla no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="dynamodb-5-remediation"></a>

Para agregar etiquetas a una tabla de DynamoDB, consulte [Etiquetado de recursos en DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Tagging.Operations.html) en la *Guía para desarrolladores de Amazon DynamoDB*.

## [DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
<a name="dynamodb-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** media

**Tipo de recurso:** `AWS::DynamoDB::Table`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una tabla de Amazon DynamoDB tiene habilitada la protección contra eliminación. Se produce un error en el control si una tabla DynamoDB no tiene habilitada la protección contra eliminación.

Puede proteger una tabla de DynamoDB contra la eliminación accidental con la propiedad de protección contra la eliminación. Habilitar esta propiedad para las tablas ayuda a garantizar que los administradores no eliminen las tablas accidentalmente durante las operaciones habituales de administración. De este modo, evita que se interrumpan las operaciones comerciales normales.

### Corrección
<a name="dynamodb-6-remediation"></a>

Para habilitar la protección contra eliminación de una tabla de DynamoDB, consulte [Uso de la protección contra eliminación](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) en la *Guía para desarrolladores de Amazon DynamoDB*.

## [DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
<a name="dynamodb-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7, 3, NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 3 NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::DAX::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un clúster de Acelerador de Amazon DynamoDB (DAX) está cifrado en tránsito, con el tipo de cifrado de punto de conexión establecido en TLS. El control lanza un error si el clúster de DAX no está cifrado en tránsito.

El HTTPS (TLS) se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo debe permitir que conexiones cifradas pasen por TLS para acceder a los clústeres de DAX. Sin embargo, el cifrado de los datos en tránsito puede afectar el rendimiento. Debe probar su aplicación con cifrado para comprender el perfil de rendimiento y el impacto de TLS.

### Corrección
<a name="dynamodb-7-remediation"></a>

No se puede cambiar la configuración de cifrado de TLS después de crear un clúster de DAX. Para cifrar un clúster de DAX existente, cree un nuevo clúster con el cifrado en tránsito habilitado, traslade el tráfico de la aplicación hacia él y, a continuación, elimine el clúster anterior. Para obtener más información, consulte [Uso de la protección contra eliminación](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) en la *Guía para desarrolladores de Amazon DynamoDB*.

# Controles CSPM de Security Hub para Amazon EC2
<a name="ec2-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Elastic Compute Cloud (Amazon EC2). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente
<a name="ec2-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11) NIST.800-53.r5 AC-3, (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20), (21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica 

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si las instantáneas de Amazon Elastic Block Store no son públicas. El control falla si cualquier persona puede restaurar las instantáneas de Amazon EBS.

Las instantáneas de EBS se utilizan para hacer una copia de seguridad de los datos de sus volúmenes de EBS en Amazon S3 en un momento específico. Puede utilizar las instantáneas para restaurar estados anteriores de volúmenes de EBS. Rara vez es aceptable compartir una instantánea con el público. Por lo general, la decisión de compartir una instantánea públicamente se toma por error o sin una comprensión completa de las consecuencias. Esta comprobación ayuda a garantizar que todos esos intercambios se planificaron y son intencionados.

### Corrección
<a name="ec2-1-remediation"></a>

Para hacer privada una instantánea de EBS pública, consulte [Compartir una instantánea](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) en la *Guía del usuario de Amazon EC2*. En **Acciones, Modificar permisos**, seleccione **Privado**.

## [EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente
<a name="ec2-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS Foundations Benchmark v1.2.0/4.3, CIS Foundations Benchmark v1.4.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.4,, (21), (11), (16), (21), (21), (16), (21), (21), (16), (21), (21), (16), (21), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (21), (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), (21), NIST.800-53.r5 SC-7 (16), (21), NIST.800-53.r5 SC-7 (21), (16), NIST.800-53.r5 SC-7 (21), (21)) AWS AWS 

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta 

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba que el grupo de seguridad predeterminado de una VPC permita el tráfico entrante o saliente. El control falla si el grupo de seguridad permite el tráfico entrante o saliente.

Las reglas del [grupo de seguridad predeterminado](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html) permiten todo el tráfico saliente y entrante de las interfaces de red (y de sus instancias asociadas) asignadas al mismo grupo de seguridad. Le recomendamos que no utilice el grupo de seguridad predeterminado. Dado que el grupo de seguridad predeterminado no se puede eliminar, debería cambiar la configuración de reglas de grupo de seguridad predeterminada para restringir el tráfico entrante y saliente. Esto evita el tráfico no deseado si el grupo de seguridad predeterminado se configura accidentalmente para recursos como instancias EC2.

### Corrección
<a name="ec2-2-remediation"></a>

Para solucionar este problema, comience por crear nuevos grupos de seguridad con privilegios mínimos. Para obtener instrucciones, consulte [Crear un grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups) en la *Guía del usuario de Amazon VPC*. A continuación, asigne los nuevos grupos de seguridad a sus instancias de EC2. Para conocer las instrucciones, consulte [Cambiar un grupo de seguridad de una instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group) en la *Guía del usuario de Amazon EC2*.

Tras asignar los nuevos grupos de seguridad a sus recursos, elimine todas las reglas de entrada y salida de los grupos de seguridad predeterminados. Para conocer las instrucciones, consulte [Configuración de las reglas de un grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) en la *Guía del usuario de Amazon VPC*.

## [EC2.3] Los volúmenes de Amazon EBS asociados deben cifrarse en reposo
<a name="ec2-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIst.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::Volume`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los volúmenes de EBS asociados están cifrados. Para superar esta comprobación, los volúmenes de EBS deben tener el estado de uso y estar cifrados. Si el volumen de EBS no está asociado, entonces no estará en el alcance de esta comprobación.

Para obtener una capa adicional de seguridad de la información confidencial en volúmenes de EBS, debe habilitar el cifrado de EBS en reposo. Amazon EBS ofrece una solución de cifrado sencilla para los recursos de EBS que no precisa que cree, mantenga y proteja su propia infraestructura de administración de claves. Utiliza claves CMK al crear volúmenes cifrados e instantáneas.

Para obtener más información acerca del cifrado de Amazon EBS, consulte [Cifrado de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) en la *Guía del usuario de Amazon EC2*.

### Corrección
<a name="ec2-3-remediation"></a>

No existe una forma directa para cifrar un volumen o una instantánea sin cifrar existente. Solo puede cifrar un nuevo volumen o instantánea al crearlo.

Si ha habilitado el cifrado de forma predeterminada, Amazon EBS cifra el nuevo volumen o la instantánea resultante utilizando la clave predeterminada para el cifrado de Amazon EBS. Aunque no haya habilitado el cifrado de forma predeterminada, puede habilitarlo al crear un volumen o una instantánea individuales. En ambos casos, puede anular la clave predeterminada para el cifrado de Amazon EBS y elegir una clave administrada por el cliente simétrica.

Para obtener más información, consulte [Creación de un volumen de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) y [Copia de una instantánea de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
<a name="ec2-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NIst.800-53.r5 CM-2 (2)

**Categoría:** Identificar - Inventario

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::Instance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `AllowedDays`  |  Cantidad de días que se permite que la instancia de EC2 permanezca detenida antes de generar un resultado con errores.  |  Entero  |  De `1` a `365`  |  `30`  | 

Este control comprueba si una instancia de Amazon EC2 ha estado detenida durante más días de lo permitido. Se produce un error en el control si una instancia de EC2 se detiene durante más tiempo que el máximo permitido. A menos que proporcione un valor de parámetro personalizado para el período de tiempo máximo permitido, el CSPM de Security Hub utiliza un valor predeterminado de 30 días.

Cuando una instancia de EC2 no se ha ejecutado durante un periodo significativo, se crea un riesgo de seguridad porque la instancia no se mantiene de manera activa (se analiza, se le aplican parches o se actualiza). Si se lanza más adelante, la falta de un mantenimiento adecuado podría provocar problemas inesperados en su AWS entorno. Para mantener segura una instancia de EC2 a lo largo del tiempo en un estado inactivo, iníciela de manera periódica para hacer tareas de mantenimiento y deténgala después del mantenimiento. Lo ideal es que se tratara de un proceso automatizado.

### Corrección
<a name="ec2-4-remediation"></a>

Para terminar una instancia de EC2 inactiva, consulte [Terminación de una instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console) en la *Guía del usuario de Amazon EC2*.

## [EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs
<a name="ec2-6"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.7, CIS Foundations Benchmark v1.2.0/2.9, CIS AWS Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, NIST.800-53.r5 AC-4 (26),, NIst.800-53.r5 SI-7 (8), NISt.800-171.r2 3.1.20, NISt.800-171.r2 3.3.1 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NISt.800-171.R2 3.13.1, PCI AWS DSS 3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPC`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**
+ `trafficType`: `REJECT` (no personalizable)

Este control comprueba si los registros de flujo de Amazon VPC se encuentran y están activados. VPCs El tipo de tráfico se ha establecido como `Reject`. El control falla si los registros de flujo de VPC no están habilitados VPCs en su cuenta.

**nota**  
Este control no comprueba si los registros de flujo de Amazon VPC están habilitados a través de Amazon Security Lake para la Cuenta de AWS.

Con la característica de VPC Flow Logs, puede utilizar los registros de flujo de la VPC para capturar información sobre el tráfico de direcciones IP entrante y saliente de las interfaces de red de su VPC. Después de crear un registro de flujo, puede ver y recuperar sus datos en los CloudWatch registros. Para reducir los costos, también puede enviar los registros de flujo a Amazon S3. 

Security Hub (CSPM) recomienda habilitar el registro de flujo para los paquetes rechazados. VPCs Los registros de flujo proporcionan visibilidad del tráfico de red que atraviesa la VPC y pueden detectar tráfico anómalo o brindar información durante los flujos de trabajo de seguridad.

De forma predeterminada, el registro incluye valores para los distintos componentes del flujo de dirección IP, incluido el origen, el destino y el protocolo. Para obtener más información y descripciones de los campos de registro, consulte [Registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) en la *Guía del usuario de Amazon VPC*.

### Corrección
<a name="ec2-6-remediation"></a>

Para crear un registro de flujo de VPC, consulte [Crear un registro de flujo](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log) en la *Guía del usuario de Amazon VPC.* **Tras abrir la consola de Amazon VPC, selecciona Your. VPCs** En **Filtro**, elija **Rechazar** o **Todos**.

## [EC2.7] El cifrado predeterminado de EBS debe estar activado
<a name="ec2-7"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.1.1, CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS Foundations Benchmark v3.0.0/2.2.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6) AWS NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el cifrado a nivel de cuenta está habilitado de forma predeterminada para los volúmenes de Amazon Elastic Block Store (Amazon EBS). El control falla si el cifrado a nivel de cuenta no está habilitado para los volúmenes de EBS. 

Cuando el cifrado está activado en su cuenta, los volúmenes de Amazon EBS y las copias instantáneas se cifran en reposo. Esto agrega una capa adicional de protección para sus datos. Para obtener más información, consulte [Cifrado de forma predeterminada](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) en la *Guía del usuario de Amazon EC2*.

### Corrección
<a name="ec2-7-remediation"></a>

Para configurar el cifrado predeterminado para los volúmenes de Amazon EBS, consulte [Cifrado predeterminado](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) en la *Guía del usuario de Amazon EC2*.

## [EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2
<a name="ec2-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.7, CIS AWS Foundations Benchmark v3.0.0/5.6, NIST.800-53.r5 AC-3 (15), (7) NIST.800-53.r5 AC-3, PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Categoría**: Proteger > Seguridad de red

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::Instance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la versión de metadatos de la instancia EC2 está configurada con la versión 2 () del servicio de metadatos de la instancia. IMDSv2 El control pasa si `HttpTokens` está configurado como necesario para IMDSv2. El control tiene errores si `HttpTokens` está configurado como `optional`,

Utiliza metadatos de instancia para configurar o administrar la instancia en ejecución. El IMDS proporciona acceso a credenciales temporales que se rotan con frecuencia. Estas credenciales eliminan la necesidad de codificar o distribuir credenciales confidenciales a las instancias de forma manual o programática. El IMDS se conecta localmente a todas las instancias de EC2. Se ejecuta en una dirección IP de «enlace local» de 169.254.169.254. Solo el software que se ejecuta en la instancia puede acceder a esta dirección IP.

La versión 2 del IMDS añade nuevas protecciones para los siguientes tipos de vulnerabilidades. Estas vulnerabilidades podrían utilizarse para intentar acceder al IMDS.
+ Abra firewalls de aplicaciones de sitios web
+ Abra proxies inversos
+ Vulnerabilidades de falsificación de solicitudes del servidor (SSRF)
+ Firewalls de capa 3 abiertos y traducción de direcciones de red (NAT)

Security Hub CSPM recomienda configurar las instancias EC2 con. IMDSv2

### Corrección
<a name="ec2-8-remediation"></a>

Para configurar las instancias EC2 con IMDSv2, consulte [Ruta recomendada para requerir IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2) en la Guía del usuario de *Amazon EC2*.

## [EC2.9] Las instancias de Amazon EC2 no deben tener una dirección pública IPv4
<a name="ec2-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::Instance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las instancias EC2 tienen una dirección IP pública. El control falla si el campo `publicIp` está presente en el elemento de configuración de instancia EC2. Este control se aplica únicamente a IPv4 las direcciones. 

Una dirección IPv4 pública es una dirección IP a la que se puede tener acceso desde Internet. Si lanza la instancia con una dirección IP pública, se puede obtener acceso a la instancia de EC2 desde Internet. Una dirección IPv4 privada es una dirección IP a la que no se puede obtener acceso desde Internet. Puede utilizar direcciones IPv4 privadas para la comunicación entre las instancias EC2 de una misma VPC o en su red privada conectada.

IPv6 las direcciones son únicas a nivel mundial y, por lo tanto, se puede acceder a ellas desde Internet. Sin embargo, de forma predeterminada, todas las subredes tienen el atributo de IPv6 direccionamiento establecido en false. Para obtener más información IPv6, consulte el [direccionamiento IP en su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) en la Guía del usuario de Amazon *VPC*.

Si tiene un caso de uso legítimo para mantener las instancias de EC2 con direcciones IP públicas, puede ocultar los resultados de este control. Para obtener más información sobre las opciones de arquitectura de front-end, consulte el [blog de AWS arquitectura](https://aws.amazon.com/blogs/architecture/) o la [serie AWS de vídeos This Is My Architecture](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile).

### Corrección
<a name="ec2-9-remediation"></a>

Utilice una VPC no predeterminada para que no se le asigne a su instancia una dirección IP pública de forma predeterminada.

Cuando se lanza una instancia EC2 en una VPC predeterminada, se le asigna una dirección IP pública. Al lanzar una instancia EC2 en una VPC no predeterminada, la configuración de subred determina si recibe una dirección IP pública. La subred tiene un atributo para determinar si las nuevas instancias de EC2 de la subred reciben una dirección IP pública del conjunto de direcciones públicas. IPv4 

Puede desvincular una dirección IP pública asignada de manera automática de su instancia de EC2. Para obtener más información, consulte [ IPv4 Direcciones públicas y nombres de host DNS externos](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses) en la Guía del usuario de *Amazon EC2*.

## [EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2
<a name="ec2-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIst.800-171.r2 3.1.3, NIst.800-171.r2 3.13.1

**Categoría:** Proteger > Configuración de red segura > Acceso privado a la API

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPC`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** 
+ `serviceName`: `ec2` (no personalizable)

Este control comprueba si se ha creado un punto de conexión de servicio para Amazon EC2 para cada VPC. El control falla si una VPC no tiene un punto de conexión de VPC creado para el servicio Amazon EC2. 

Este control evalúa los recursos en una sola cuenta. No puede describir los recursos que están fuera de la cuenta. Dado que AWS Config Security Hub CSPM no realiza comprobaciones cruzadas entre cuentas, verá VPCs que `FAILED` los resultados se comparten entre cuentas. Security Hub CSPM recomienda que suprima estos `FAILED` hallazgos.

Para mejorar la posición de seguridad de su VPC, puede configurar Amazon EC2 para que utilice un punto de conexión de VPC de interfaz. Los puntos de enlace de la interfaz funcionan con una tecnología que le permite acceder a las operaciones de la API de Amazon EC2 de forma privada. AWS PrivateLink Restringe todo el tráfico de red entre su VPC y Amazon EC2 a la red de Amazon. Dado que los puntos de conexión solo se admiten dentro de la misma región, no se puede crear un punto de conexión entre una VPC y un servicio de otra región. Esto evita las llamadas no deseadas a la API de Amazon EC2 a otras regiones. 

Para obtener más información acerca de cómo crear puntos de conexión de VPC para Amazon EC2, consulte [Amazon EC2 y puntos de conexión de VPC de interfaz](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html) en la *Guía del usuario de Amazon EC2*.

### Corrección
<a name="ec2-10-remediation"></a>

Para crear un punto de conexión de interfaz para Amazon EC2 desde la consola de Amazon VPC, consulte [Crear un punto de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) en la *Guía de AWS PrivateLink *. **En **Nombre del servicio**, elija com.amazonaws. *region*.ec2.**

También puede crear y asociar una política de punto de conexión a su punto de conexión de VPC para controlar el acceso a la API de Amazon EC2. Para obtener instrucciones sobre cómo crear una política de punto de conexión de VPC, consulte [Creación de una política de punto de conexión](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy) en la *Guía del usuario de Amazon EC2*.

## [EC2.12] Debe quitarse la Amazon EIPs EC2 no utilizada
<a name="ec2-12"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.4, NISt.800-53.r5 CM-8 (1)

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::EIP`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las direcciones IP elásticas (EIP) que se asignan a una VPC están conectadas a instancias EC2 o a interfaces de red elásticas en uso (). ENIs

Si se detecta un error, es posible que el EC2 no se utilice. EIPs

Esto le ayudará a mantener un inventario preciso de los activos de su entorno EIPs de datos de titulares de tarjetas (CDE).

### Corrección
<a name="ec2-12-remediation"></a>

Para lanzar una EIP que no está en uso, consulte [Lanzamiento de una dirección IP elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing) en la *Guía del usuario de Amazon EC2*.

## [EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22
<a name="ec2-13"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/4.1, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.3, NISt.800-171.r2 3.13.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2, PCI DSS SS v4.0.1/1.3.1

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)

**Tipo de programa:** activado por cambios y periódico

**Parámetros:** ninguno

Este control comprueba si un grupo de seguridad de Amazon EC2 permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 22. Se produce un error en el control si el grupo de seguridad permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 22.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Recomendamos que ningún grupo de seguridad permita el acceso de entrada ilimitado al puerto 22. La eliminación de la conectividad libre a los servicios de la consola a distancia, como SSH, reduce la exposición al riesgo del servidor.

### Corrección
<a name="ec2-13-remediation"></a>

Para prohibir la entrada al puerto 22, elimine la regla que permite dicho acceso a cada grupo de seguridad asociado a una VPC. Para obtener instrucciones, consulte [Actualización de las reglas de un grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) en la *Guía del usuario de Amazon EC2*. Después de seleccionar un grupo de seguridad en la consola de Amazon EC2, elija **Acciones y editar reglas de entrada**. Elimine la regla que permite el acceso al puerto 22.

## [EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389
<a name="ec2-14"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**AWS Config regla [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**: (`restricted-rdp`la regla creada es)

**Tipo de programa:** activado por cambios y periódico

**Parámetros:** ninguno

Este control comprueba si un grupo de seguridad de Amazon EC2 permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389. Se produce un error en el control si el grupo de seguridad permite la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Recomendamos que ningún grupo de seguridad permita el acceso de entrada ilimitado al puerto 3389. La eliminación de la conectividad libre a los servicios de la consola a distancia, como RDP, reduce la exposición al riesgo del servidor.

### Corrección
<a name="ec2-14-remediation"></a>

Para prohibir la entrada al puerto 3389, elimine la regla que permite dicho acceso a cada grupo de seguridad asociado a una VPC. Para obtener instrucciones, consulte [Actualizar reglas del grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules) en la *Guía del usuario de Amazon VPC*. Tras seleccionar un grupo de seguridad en la consola de Amazon VPC, elija **Acciones y editar reglas de entrada**. Elimine la regla que permite el acceso al puerto 3389.

## [EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas
<a name="ec2-15"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Categoría**: Proteger > Seguridad de red

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::Subnet`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una subred de Amazon Virtual Private Cloud (Amazon VPC) está configurada para asignar automáticamente direcciones IP públicas. El control falla si la subred está configurada para asignar automáticamente direcciones públicas IPv4 o direcciones. IPv6 

Las subredes tienen atributos que determinan si las interfaces de red reciben automáticamente direcciones IPv4 y IPv6 direcciones públicas. Para IPv4, este atributo está configurado como `TRUE` para las subredes predeterminadas y `FALSE` para las subredes no predeterminadas (con la excepción de las subredes no predeterminadas creadas mediante el asistente de lanzamiento de instancias de EC2, donde está configurado en). `TRUE` Para IPv6, este atributo se establece en para todas las subredes de forma predeterminada`FALSE`. Cuando estos atributos están habilitados, las instancias lanzadas en la subred reciben automáticamente las direcciones IP (IPv4 o IPv6) correspondientes en su interfaz de red principal.

### Corrección
<a name="ec2-15-remediation"></a>

Para configurar una subred para que no asigne direcciones IP públicas, consulte [Modificación de los atributos de direccionamiento IP de la subred](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html) en la *Guía del usuario de Amazon VPC*.

## [EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
<a name="ec2-16"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-8(1), NIST.800-171.r2 3.4.7, PCI DSS v4.0.1/1.2.7

**Categoría**: Proteger > Seguridad de red

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::NetworkAcl`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si hay listas de control de acceso a la red (red ACLs) no utilizadas en su nube privada virtual (VPC). El control lanza error si la ACL de la red no está asociada a una subred. El control no genera resultados para una ACL de red predeterminada que no está en uso.

El control comprueba la configuración de elementos del recurso de `AWS::EC2::NetworkAcl` y determina las relaciones de la ACL de la red.

Si la única relación es la VPC de la ACL de la red, el control lanza error.

Si se enumeran otras relaciones, el control pasa.

### Corrección
<a name="ec2-16-remediation"></a>

Para obtener instrucciones sobre cómo eliminar una ACL de red no utilizada, consulte [Eliminar una ACL de red](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL) en la *Guía del usuario de Amazon VPC*. No puede eliminar la ACL de red predeterminada ni una ACL asociada a subredes.

## [EC2.17] Las instancias de Amazon EC2 no deben usar múltiples ENIs
<a name="ec2-17"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21)

**Categoría**: Proteger > Seguridad de red

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::Instance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instancia EC2 utiliza varias interfaces de red elásticas (ENI) o adaptadores de estructura elástica (EFA). Este control se ejecuta si se utiliza un único adaptador de red. El control incluye una lista de parámetros opcional para identificar los ENI permitidos. Este control también falla si una instancia EC2 que pertenece a un clúster de Amazon EKS utiliza más de un ENI. Si sus instancias EC2 necesitan tener varias ENIs como parte de un clúster de Amazon EKS, puede suprimir esas conclusiones de control.

Si tiene varias ENIs subredes, puede haber instancias de doble host, es decir, instancias que tienen varias subredes. Esto puede añadir complejidad a la seguridad de la red e introducir rutas y accesos a la red no deseados.

### Corrección
<a name="ec2-17-remediation"></a>

Para desvincular una interfaz de red de una instancia de EC2, consulte [Desvinculación de una interfaz de red de una instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni) en la *Guía del usuario de Amazon EC2*.

## [EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados
<a name="ec2-18"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NISt.800-171.r2 NIST.800-53.r5 SC-7 3.1.3, NISt.800-171.r2 3.1.20, NISt.800-171.r2 3.13.1

**Categoría:** Proteger > Configuración de red segura > Configuración de grupos de seguridad

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `authorizedTcpPorts`  |  Lista de puertos TCP autorizados  |  IntegerList (mínimo de 1 elemento y máximo de 32 elementos)  |  De `1` a `65535`  |  `[80,443]`  | 
|  `authorizedUdpPorts`  |  Lista de puertos UDP autorizados  |  IntegerList (mínimo de 1 artículo y máximo de 32 artículos)  |  De `1` a `65535`  |  Sin valor predeterminado  | 

Este control comprueba si un grupo de seguridad de Amazon EC2 permite el tráfico entrante sin restricciones de puertos no autorizados. El estado de control se determina de la siguiente manera:
+ Si se utiliza el valor predeterminado para `authorizedTcpPorts`, se producirá un error en el control si el grupo de seguridad permite el tráfico entrante sin restricciones de cualquier puerto que no sea el 80 ni el 443.
+ Si proporciona valores personalizados para `authorizedTcpPorts` o `authorizedUdpPorts`, se producirá un error en el control si el grupo de seguridad permite el tráfico entrante sin restricciones de cualquier puerto que no figure en la lista.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a AWS. Las reglas de los grupos de seguridad deben seguir el principio del acceso con menos privilegios. El acceso sin restricciones (dirección IP con el sufijo /0) aumenta las posibilidades de que se produzcan actividades maliciosas, como hackeos, denial-of-service ataques y pérdida de datos. A menos que se permita específicamente un puerto, dicho puerto debería denegar el acceso sin restricciones.

### Corrección
<a name="ec2-18-remediation"></a>

Para modificar un grupo de seguridad, consulte [Trabajo con grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html) en la *Guía del usuario de Amazon VPC*.

## [EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo
<a name="ec2-19"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (1), NIST.800-53.r5 CA-9 (11), (16) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.20, NISt.800-171.r2 3.13.1

**Categoría:** Proteger > Acceso restringido a la red

**Gravedad:** crítica

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**AWS Config regla [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**`vpc-sg-restricted-common-ports`: (la regla creada es)

**Tipo de programa:** activado por cambios y periódico

**Parámetros:** `"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"` (no personalizables)

Este control comprueba si el tráfico entrante sin restricciones de un grupo de seguridad de Amazon EC2 es accesible para los puertos especificados que se consideran de mayor riesgo. Este control falla si alguna de las reglas de un grupo de seguridad permite la entrada de tráfico desde “0.0.0.0/0” o “::/0” a esos puertos.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . El acceso sin restricciones (0.0.0.0/0) aumenta las posibilidades de que se produzcan actividades maliciosas, como la piratería informática, denial-of-service los ataques y la pérdida de datos. Ningún grupo de seguridad debe permitir el acceso de entrada sin restricciones a los siguientes puertos:
+ 20, 21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ POP3(10)
+ 135 (RPC)
+ 143 (IMAP)
+ 445 (CIFS)
+ 1433, 1434 (MSSQL)
+ 3000 (marcos de desarrollo web Go, Node.js y Ruby)
+ 3306 (MySQL)
+ 3389 (RDP)
+ 4333 (ahsp)
+ 5000 (marcos de desarrollo web Python)
+ 5432 (postgresql)
+ 500 (fcp-addr-srvr1) 
+ 5601 (OpenSearch paneles de control)
+ 8080 (proxy)
+ 8088 (puerto HTTP antiguo)
+ 8888 (puerto HTTP alternativo)
+ 9200 o 9300 () OpenSearch

### Corrección
<a name="ec2-19-remediation"></a>

Para eliminar reglas de un grupo de seguridad, consulte [Eliminación de reglas de un grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule) en la *Guía del usuario de Amazon EC2*.

## [EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos
<a name="ec2-20"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5), NIst.800-171.r2 3.1.13, NISt.800-171.r2 3.1.20

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media 

**Tipo de recurso:**`AWS::EC2::VPNConnection`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Un túnel VPN es un enlace cifrado por el que los datos pueden pasar desde la red del cliente hacia AWS o desde una conexión VPN. AWS Site-to-Site Cada conexión de VPN incluye dos túneles de VPN que puede utilizar simultáneamente para conseguir alta disponibilidad. Asegurarse de que ambos túneles VPN estén activos para una conexión VPN es importante para confirmar una conexión segura y de alta disponibilidad entre una AWS VPC y su red remota.

Este control comprueba que los dos túneles VPN proporcionados por la AWS Site-to-Site VPN estén en estado ACTIVO. El control falla si uno o ambos túneles están en estado INACTIVO.

### Corrección
<a name="ec2-20-remediation"></a>

Para modificar las opciones del túnel VPN, consulte [Modificación de las opciones del túnel Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html) en la Guía del usuario de la AWS Site-to-Site VPN.

## [EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
<a name="ec2-21"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.2, CIS AWS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 (21), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.3, NISt.800-171.r2 3.1.20, NISt.800-171.r2 3.13.1, PCI DSS v4.0.1/1.3.1

**Categoría:** Proteger > Configuración de red segura

**Gravedad:** media 

**Tipo de recurso:**`AWS::EC2::NetworkAcl`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una lista de control de acceso a la red (ACL de red) permite el acceso sin restricciones a los puertos TCP predeterminados para el tráfico de SSH/RDP entrada. El control lanza error si una entrada entrante de la ACL de la red permite un bloque de CIDR de origen de “0.0.0.0/0” o “::/0” para los puertos TCP 22 o 3389. El control no genera resultados para una ACL de red predeterminada.

El acceso a los puertos de administración remota del servidor, como el puerto 22 (SSH) y el puerto 3389 (RDP), no debe ser de acceso público, ya que esto puede permitir el acceso no deseado a los recursos de la VPC.

### Corrección
<a name="ec2-21-remediation"></a>

Para editar las reglas de tráfico de ACL de la red, consulte [Trabajar con la red ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) en la Guía del *usuario de Amazon VPC*.

## [EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse
<a name="ec2-22"></a>

**Categoría:** Identificar - Inventario

**Gravedad:** media 

**Tipo de recurso:** `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si los grupos de seguridad están asociados a instancias de Amazon Elastic Compute Cloud (Amazon EC2) o a una interfaz de red elástica. El control lanza error si el grupo de seguridad no está asociado a una instancia de Amazon EC2 o a una interfaz de red elástica.

**importante**  
El 20 de septiembre de 2023, Security Hub CSPM eliminó este control de las mejores prácticas de seguridad AWS fundamentales y de los estándares NIST SP 800-53 revisión 5. Este control sigue formando parte del estándar de administración de servicios. AWS Control Tower Este control genera un resultado aprobado si los grupos de seguridad están asociados a instancias de EC2 o a una interfaz de red elástica. Sin embargo, en algunos casos de uso, los grupos de seguridad independientes no representan un riesgo para la seguridad. Puede usar otros controles de EC2, como EC2.2, EC2.13, EC2.14, EC2.18 y EC2.19, para supervisar sus grupos de seguridad.

### Corrección
<a name="ec2-22-remediation"></a>

Para crear, asignar y eliminar grupos de seguridad, consulte [Grupos de seguridad para las instancias de EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC
<a name="ec2-23"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta 

**Tipo de recurso:**`AWS::EC2::TransitGateway`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las pasarelas de tránsito de EC2 aceptan automáticamente adjuntos de VPC compartidos. Este control falla en el caso de una pasarela de tránsito que acepta automáticamente las solicitudes de adjuntos de VPC compartidas.

Al activar `AutoAcceptSharedAttachments` se configura una pasarela de tránsito para que acepte automáticamente cualquier solicitud de adjunto de VPC multicuenta sin verificar la solicitud o la cuenta desde la que se origina el archivo adjunto. Para seguir las prácticas recomendadas de autorización y autenticación, recomendamos desactivar esta característica para garantizar que solo se acepten las solicitudes de adjuntos de VPC autorizadas.

### Corrección
<a name="ec2-23-remediation"></a>

Para modificar una puerta de enlace de tránsito, consulte [Modificación de una puerta de enlace de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying) en la Guía para desarrolladores de Amazon VPC.

## [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
<a name="ec2-24"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media 

**Tipo de recurso:**`AWS::EC2::Instance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el tipo de virtualización de una instancia EC2 es paravirtual. El control falla si `virtualizationType` de la instancia EC2 está configurada como `paravirtual`.

Las Amazon Machine Images (AMIs) de Linux utilizan uno de los dos tipos de virtualización: paravirtual (PV) o máquina virtual de hardware (HVM). Las principales diferencias entre la PV y la HVM AMIs son la forma en que arrancan y si pueden aprovechar las extensiones de hardware especiales (CPU, red y almacenamiento) para obtener un mejor rendimiento.

Históricamente, en muchos casos los clientes que utilizan sistemas fotovoltaicos ofrecían un mejor rendimiento que los de HVM, pero debido a las mejoras en la virtualización de la HVM y a la disponibilidad de controladores fotovoltaicos para los sistemas HVM AMIs, esto ya no es cierto. Para obtener más información, consulte [Tipos de virtualización de la AMI de Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html) en la Guía del usuario de Amazon EC2.

### Corrección
<a name="ec2-24-remediation"></a>

Para actualizar una instancia de EC2 a un nuevo tipo de instancia, consulte [Cambio del tipo de instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red
<a name="ec2-25"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta 

**Tipo de recurso:**`AWS::EC2::LaunchTemplate`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las plantillas de lanzamiento de Amazon EC2 están configuradas para asignar direcciones IP públicas a las interfaces de red en el momento del lanzamiento. El control falla si una plantilla de lanzamiento de EC2 está configurada para asignar una dirección IP pública a las interfaces de red o si hay al menos una interfaz de red que tiene una dirección IP pública.

Una dirección IP pública es una dirección a la que se puede tener acceso desde Internet. Si configura las interfaces de red con una dirección IP pública, es posible que se pueda acceder a los recursos asociados a esas interfaces de red desde Internet. Los recursos de EC2 no deberían ser de acceso público, ya que esto podría permitir el acceso no deseado a sus cargas de trabajo.

### Corrección
<a name="ec2-25-remediation"></a>

Para actualizar una plantilla de lanzamiento de EC2, consulte [Cambiar la configuración predeterminada de la interfaz de red](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface) en la *Guía del usuario de Amazon EC2 Auto Scaling*.

## [EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad
<a name="ec2-28"></a>

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NISt.800-53.r5 SI-12, NISt.800-53.r5 SI-13 (5)

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::Volume`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html)**``

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  El control genera un resultado `PASSED` si el parámetro está establecido en `true` y el recurso utiliza el Bloqueo de almacenes de AWS Backup .  |  Booleano  |  `true` o `false`  |  Sin valor predeterminado  | 

Este control evalúa si un volumen de Amazon EBS en el estado `in-use` está cubierto por un plan de copias de seguridad. Se produce un error en el control si un volumen de Amazon EBS no está cubierto por un plan de copias de seguridad. Si establece el `backupVaultLockCheck` parámetro en un valor igual a`true`, el control solo se activará si el volumen de EBS está guardado en un AWS Backup almacén cerrado con llave.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La inclusión de los volúmenes de Amazon EBS en un plan de copias de seguridad le ayuda a proteger sus datos contra pérdidas o eliminaciones involuntarias.

### Corrección
<a name="ec2-28-remediation"></a>

Para añadir un volumen de Amazon EBS a un plan de AWS Backup backup, consulte [Asignación de recursos a un plan de backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) en la Guía para *AWS Backup desarrolladores*.

## [EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse
<a name="ec2-33"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::TransitGatewayAttachment`

**AWS Config regla:** `tagged-ec2-transitgatewayattachment` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una conexión de puerta de enlace de tránsito de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la conexión de puerta de enlace de tránsito no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la conexión de puerta de enlace de tránsito no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-33-remediation"></a>

Para agregar etiquetas a una conexión de puerta de enlace de tránsito de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse
<a name="ec2-34"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::TransitGatewayRouteTable`

**AWS Config regla:** `tagged-ec2-transitgatewayroutetable` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una tabla de enrutamiento de una puerta de enlace de tránsito de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la tabla de enrutamiento de la puerta de enlace de tránsito no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la tabla de enrutamiento de la puerta de enlace de tránsito no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-34-remediation"></a>

Para agregar etiquetas a una tabla de enrutamiento de una puerta de enlace de tránsito de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.35] Las interfaces de red de EC2 deben etiquetarse
<a name="ec2-35"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::NetworkInterface`

**AWS Config regla:** `tagged-ec2-networkinterface` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una interfaz de red de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la interfaz de red no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la interfaz de red no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-35-remediation"></a>

Para agregar etiquetas a una interfaz de red de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse
<a name="ec2-36"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::CustomerGateway`

**AWS Config regla:** `tagged-ec2-customergateway` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una puerta de enlace de cliente de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la puerta de enlace de cliente no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace de cliente no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-36-remediation"></a>

Para agregar etiquetas a una puerta de enlace de cliente de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.37] Las direcciones IP elásticas de EC2 deben etiquetarse
<a name="ec2-37"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::EIP`

**AWS Config regla:** `tagged-ec2-eip` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una dirección IP elástica de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la dirección IP elástica no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la dirección IP elástica no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-37-remediation"></a>

Para agregar etiquetas a una dirección IP elástica de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.38] Las instancias de EC2 deben etiquetarse
<a name="ec2-38"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::Instance`

**AWS Config regla:** `tagged-ec2-instance` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una instancia de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la instancia no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la instancia no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-38-remediation"></a>

Para agregar etiquetas a una instancia de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.39] Las puertas de enlace de Internet de EC2 deben etiquetarse
<a name="ec2-39"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::InternetGateway`

**AWS Config regla:** `tagged-ec2-internetgateway` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una puerta de enlace de Internet de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la puerta de enlace de Internet no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace de Internet no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-39-remediation"></a>

Para agregar etiquetas a una puerta de enlace de Internet de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse
<a name="ec2-40"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::NatGateway`

**AWS Config regla:** `tagged-ec2-natgateway` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una puerta de enlace de traducción de direcciones de red (NAT) de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la puerta de enlace de NAT no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace de NAT no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-40-remediation"></a>

Para agregar etiquetas a una puerta de enlace de NAT de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.41] La red EC2 debe estar etiquetada ACLs
<a name="ec2-41"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::NetworkAcl`

**AWS Config regla:** `tagged-ec2-networkacl` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una lista de control de acceso de la red (ACL de la red) de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la ACL de la red no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la ACL de la red no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-41-remediation"></a>

Para agregar etiquetas a una ACL de red de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.42] Las tablas de enrutamiento de EC2 deben etiquetarse
<a name="ec2-42"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::RouteTable`

**AWS Config regla:** `tagged-ec2-routetable` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una tabla de enrutamiento de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la tabla de enrutamiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la tabla de enrutamiento no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-42-remediation"></a>

Para agregar etiquetas a una tabla de enrutamiento de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.43] Los grupos de seguridad de EC2 deben etiquetarse
<a name="ec2-43"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**AWS Config regla:** `tagged-ec2-securitygroup` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un grupo de seguridad de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si el grupo de seguridad no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el grupo de seguridad no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-43-remediation"></a>

Para agregar etiquetas a un grupo de seguridad de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.44] Las subredes de EC2 deben etiquetarse
<a name="ec2-44"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::Subnet`

**AWS Config regla:** `tagged-ec2-subnet` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una subred de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la subred no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la subred no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-44-remediation"></a>

Para agregar etiquetas a una subred de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.45] Los volúmenes de EC2 deben etiquetarse
<a name="ec2-45"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::Volume`

**AWS Config regla:** `tagged-ec2-volume` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un volumen de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si el volumen no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el volumen no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-45-remediation"></a>

Para agregar etiquetas a un volumen de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.46] Amazon VPCs debe estar etiquetado
<a name="ec2-46"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::VPC`

**AWS Config regla:** `tagged-ec2-vpc` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una Amazon Virtual Private Cloud (Amazon VPC) tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la Amazon VPC no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la Amazon VPC no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-46-remediation"></a>

Para agregar etiquetas a una VPC, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse
<a name="ec2-47"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::VPCEndpointService`

**AWS Config regla:** `tagged-ec2-vpcendpointservice` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un servicio de puntos de conexión de Amazon VPC tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si el servicio de punto de conexión no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el servicio de punto de conexión no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-47-remediation"></a>

Para agregar etiquetas a un servicio de punto de conexión de Amazon VPC, consulte [Administración de etiquetas](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags) en la sección [Configuración de un servicio de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html) de la *Guía AWS PrivateLink *.

## [EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse
<a name="ec2-48"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::FlowLog`

**AWS Config regla:** `tagged-ec2-flowlog` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un registro de flujo de Amazon VPC tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si el registro de flujo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el registro de flujo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-48-remediation"></a>

Para agregar etiquetas a un registro de flujo de Amazon VPC, consulte [Etiquetado de un registro de flujo](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs) en la *Guía del usuario de Amazon VPC*.

## [EC2.49] Las conexiones de emparejamiento de Amazon VPC deben etiquetarse
<a name="ec2-49"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::VPCPeeringConnection`

**AWS Config regla:** `tagged-ec2-vpcpeeringconnection` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una conexión de emparejamiento de Amazon VPC tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la conexión de emparejamiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la conexión de emparejamiento no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-49-remediation"></a>

Para agregar etiquetas a una conexión de emparejamiento de Amazon VPC, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.50] Las puertas de enlace de NAT de EC2 deben etiquetarse
<a name="ec2-50"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::VPNGateway`

**AWS Config regla:** `tagged-ec2-vpngateway` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una puerta de enlace VPN de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la puerta de enlace VPN no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace VPN no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-50-remediation"></a>

Para agregar etiquetas a una puerta de enlace VPN de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes
<a name="ec2-51"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NiSt.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NiSt.800-53.r5 SI-4, NiSt.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), NIst.800-171.R2 3.1.12, NIst.800-171.r2 3.1.20, PCI DSS v4.0.1/10.2.1

**Categoría:** Identificar - Registro

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::ClientVpnEndpoint`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un AWS Client VPN punto final tiene habilitado el registro de conexiones de clientes. Se produce un error en el control si el punto de conexión no tiene habilitado el registro de conexiones de clientes.

Los puntos de conexión de Client VPN permiten a los clientes remotos conectarse de manera segura a los recursos de una nube privada virtual (VPC) en AWS. Los registros de conexión permiten hacer un seguimiento de la actividad de los usuarios en el punto de conexión de la VPN y proporcionan visibilidad. Cuando habilita el registro de conexión, puede especificar el nombre de una secuencia de registros en el grupo de registros. Si no se especifica ningún flujo de registros, el servicio Client VPN crea uno automáticamente.

### Corrección
<a name="ec2-51-remediation"></a>

Para habilitar el registro de conexión, consulte [Habilitación del registro de conexión en un punto de conexión de Client VPN existente](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing) en la *Guía del administrador de AWS Client VPN *.

## [EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse
<a name="ec2-52"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::TransitGateway`

**AWS Config regla:** `tagged-ec2-transitgateway` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una puerta de enlace de tránsito de Amazon EC2 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si la puerta de enlace de tránsito no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace de tránsito no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="ec2-52-remediation"></a>

Para agregar etiquetas a una puerta de enlace de tránsito de EC2, consulte [Etiquetado de recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) en la *Guía del usuario de Amazon EC2*.

## [EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos
<a name="ec2-53"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.3, CIS Foundations Benchmark v3.0.0/5.2, PCI AWS DSS v4.0.1/1.3.1

**Categoría:** Proteger > Configuración de red segura > Configuración de grupos de seguridad

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  La versión de IP  |  Cadena  |  No personalizable  |  `IPv4`  | 
|  `restrictPorts`  |  Lista de puertos que deben rechazar el tráfico de entrada  |  IntegerList  |  No personalizable  |  `22,3389`  | 

Este control comprueba si un grupo de seguridad de Amazon EC2 permite la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos (puertos 22 y 3389). El control lanza error si el grupo de seguridad permite la entrada de 0.0.0.0/0 a los puertos 22 o 3389.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Se recomienda que ningún grupo de seguridad permita el acceso sin restricciones a los puertos de administración de servidores remotos, como SSH al puerto 22 y RDP al puerto 3389, mediante los protocolos TDP (6), UDP (17) o ALL (-1). Si se permite el acceso público a estos puertos, crece la superficie expuesta a ataques de los recursos y el riesgo de que los recursos se vean comprometidos.

### Corrección
<a name="ec2-53-remediation"></a>

Si desea actualizar una regla de un grupo de seguridad de EC2 para prohibir el tráfico de entrada a los puertos especificados, consulte [Actualización de las reglas de un grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) en la *Guía del usuario de Amazon EC2*. Después de seleccionar un grupo de seguridad en la consola de Amazon EC2, elija **Acciones y editar reglas de entrada**. Elimine la regla que permite el acceso a los puertos 22 o 3389.

## [EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos
<a name="ec2-54"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/5.4, CIS Foundations Benchmark v3.0.0/5.3, PCI DSS AWS v4.0.1/1.3.1

**Categoría:** Proteger > Configuración de red segura > Configuración de grupos de seguridad

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::SecurityGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  La versión de IP  |  Cadena  |  No personalizable  |  `IPv6`  | 
|  `restrictPorts`  |  Lista de puertos que deben rechazar el tráfico de entrada  |  IntegerList  |  No personalizable  |  `22,3389`  | 

Este control comprueba si un grupo de seguridad de Amazon EC2 permite la entrada de ::/0 a puertos de administración de servidores remotos (puertos 22 y 3389). El control lanza error si el grupo de seguridad permite la entrada de ::/0 o a los puertos 22 o 3389.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS . Se recomienda que ningún grupo de seguridad permita el acceso sin restricciones a los puertos de administración de servidores remotos, como SSH al puerto 22 y RDP al puerto 3389, mediante los protocolos TDP (6), UDP (17) o ALL (-1). Si se permite el acceso público a estos puertos, crece la superficie expuesta a ataques de los recursos y el riesgo de que los recursos se vean comprometidos.

### Corrección
<a name="ec2-54-remediation"></a>

Si desea actualizar una regla de un grupo de seguridad de EC2 para prohibir el tráfico de entrada a los puertos especificados, consulte [Actualización de las reglas de un grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) en la *Guía del usuario de Amazon EC2*. Después de seleccionar un grupo de seguridad en la consola de Amazon EC2, elija **Acciones y editar reglas de entrada**. Elimine la regla que permite el acceso a los puertos 22 o 3389.

## [EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR
<a name="ec2-55"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Obligatorio | Description (Descripción) | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obligatorio  | El nombre del servicio que el control evalúa  | Cadena  | No personalizable  | ecr.api | 
| vpcIds  | Opcional  | Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro serviceName no tienen uno de estos puntos de conexión de VPC.  | StringList  | Personalice con una o más VPC IDs  | Sin valor predeterminado  | 

Este control comprueba si una nube privada virtual (VPC) que administra tiene un punto de conexión de interfaz de VPC para la API de Amazon ECR. El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para la API de ECR. Este control evalúa recursos en una única cuenta.

AWS PrivateLink permite a los clientes acceder a los servicios alojados AWS en ellos de una manera escalable y de alta disponibilidad, manteniendo todo el tráfico de la red dentro de la AWS red. Los usuarios del servicio pueden acceder de forma privada a los servicios con tecnología PrivateLink desde su VPC o sus instalaciones locales, sin utilizar el público IPs y sin necesidad de que el tráfico atraviese Internet.

### Corrección
<a name="ec2-55-remediation"></a>

*Para configurar un punto de enlace de VPC, consulte [Acceder y Servicio de AWS utilizar un punto de enlace de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) de interfaz en la Guía.AWS PrivateLink *

## [EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry
<a name="ec2-56"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Obligatorio | Description (Descripción) | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obligatorio  | El nombre del servicio que el control evalúa  | Cadena  | No personalizable  | ecr.dkr | 
| vpcIds  | Opcional  | Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro serviceName no tienen uno de estos puntos de conexión de VPC.  | StringList  | Personalice con una o más VPC IDs  | Sin valor predeterminado  | 

Este control comprueba si una nube privada virtual (VPC) que administra tiene un punto de conexión de VPC de interfaz para el registro de Docker. El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para el registro de Docker. Este control evalúa recursos en una única cuenta.

AWS PrivateLink permite a los clientes acceder a los servicios alojados AWS en ellos de una manera escalable y de alta disponibilidad, manteniendo todo el tráfico de la red dentro de la AWS red. Los usuarios del servicio pueden acceder de forma privada a los servicios con tecnología PrivateLink desde su VPC o sus instalaciones locales, sin utilizar el público IPs y sin necesidad de que el tráfico atraviese Internet.

### Corrección
<a name="ec2-56-remediation"></a>

*Para configurar un punto de enlace de VPC, consulte [Acceder y Servicio de AWS utilizar un punto de enlace de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) de interfaz en la Guía.AWS PrivateLink *

## [EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager
<a name="ec2-57"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4)

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Obligatorio | Description (Descripción) | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obligatorio  | El nombre del servicio que el control evalúa  | Cadena  | No personalizable  | ssm | 
| vpcIds  | Opcional  | Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro serviceName no tienen uno de estos puntos de conexión de VPC.  | StringList  | Personalice con una o más VPC IDs  | Sin valor predeterminado  | 

Este control comprueba si una nube privada virtual (VPC) que administra tiene un punto de conexión de VPC de interfaz para AWS Systems Manager. El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para Systems Manager. Este control evalúa recursos en una única cuenta.

AWS PrivateLink permite a los clientes acceder a los servicios alojados AWS en ellos de una manera escalable y de alta disponibilidad, manteniendo todo el tráfico de la red dentro de la AWS red. Los usuarios del servicio pueden acceder de forma privada a los servicios con tecnología PrivateLink desde su VPC o sus instalaciones locales, sin utilizar el público IPs y sin necesidad de que el tráfico atraviese Internet.

### Corrección
<a name="ec2-57-remediation"></a>

*Para configurar un punto de enlace de VPC, consulte [Acceder y Servicio de AWS utilizar un punto de enlace de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) de interfaz en la Guía.AWS PrivateLink *

## [EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager
<a name="ec2-58"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Obligatorio | Description (Descripción) | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obligatorio  | El nombre del servicio que el control evalúa  | Cadena  | No personalizable  | ssm-contacts | 
| vpcIds  | Opcional  | Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro serviceName no tienen uno de estos puntos de conexión de VPC.  | StringList  | Personalice con una o más VPC IDs  | Sin valor predeterminado  | 

Este control comprueba si una nube privada virtual (VPC) que usted administra tiene un punto final de VPC de interfaz para AWS Systems Manager los contactos de Incident Manager. El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para contactos del administrador de incidentes de Systems Manager. Este control evalúa recursos en una única cuenta.

AWS PrivateLink permite a los clientes acceder a los servicios alojados de una AWS manera escalable y de alta disponibilidad, al tiempo que mantiene todo el tráfico de la red dentro de la AWS red. Los usuarios del servicio pueden acceder de forma privada a los servicios con tecnología PrivateLink desde su VPC o sus instalaciones locales, sin utilizar el público IPs y sin necesidad de que el tráfico atraviese Internet.

### Corrección
<a name="ec2-58-remediation"></a>

*Para configurar un punto de enlace de VPC, consulte [Acceder y Servicio de AWS utilizar un punto de enlace de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) de interfaz en la Guía.AWS PrivateLink *

## [EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
<a name="ec2-60"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Obligatorio | Description (Descripción) | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Obligatorio  | El nombre del servicio que el control evalúa  | Cadena  | No personalizable  | ssm-incidents | 
| vpcIds  | Opcional  | Lista separada por comas de Amazon VPC IDs para puntos de enlace de VPC. Si se proporciona, el control falla si los servicios especificados en el parámetro serviceName no tienen uno de estos puntos de conexión de VPC.  | StringList  | Personalice con una o más VPC IDs  | Sin valor predeterminado  | 

Este control comprueba si una nube privada virtual (VPC) que usted administra tiene un punto final de VPC de interfaz para Incident Manager. AWS Systems Manager El control falla si la VPC no tiene un punto de conexión de VPC de interfaz para el administrador de incidentes de Systems Manager. Este control evalúa recursos en una única cuenta.

AWS PrivateLink permite a los clientes acceder a los servicios alojados de una AWS manera escalable y de alta disponibilidad, al tiempo que mantiene todo el tráfico de la red dentro de la AWS red. Los usuarios del servicio pueden acceder de forma privada a los servicios con tecnología PrivateLink desde su VPC o sus instalaciones locales, sin utilizar el público IPs y sin necesidad de que el tráfico atraviese Internet.

### Corrección
<a name="ec2-60-remediation"></a>

*Para configurar un punto de enlace de VPC, consulte [Acceder y Servicio de AWS utilizar un punto de enlace de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) de interfaz en la Guía.AWS PrivateLink *

## [EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2
<a name="ec2-170"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/2.2.6

**Categoría**: Proteger > Seguridad de red

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::LaunchTemplate`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una plantilla de lanzamiento de Amazon EC2 está configurada con la versión 2 () IMDSv2 del servicio de metadatos de instancias. El control tiene errores si `HttpTokens` está configurado como `optional`,

El uso de recursos con versiones de software compatibles garantiza un rendimiento óptimo, seguridad y acceso a las características más recientes. Las actualizaciones periódicas protegen contra las vulnerabilidades, lo que ayuda a garantizar una experiencia de usuario estable y eficaz.

### Corrección
<a name="ec2-170-remediation"></a>

Para solicitar IMDSv2 en una plantilla de lanzamiento de EC2, consulte [Configuración de las opciones del servicio de metadatos de instancias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado
<a name="ec2-171"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPNConnection`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una conexión AWS Site-to-Site VPN tiene Amazon CloudWatch Logs habilitado para ambos túneles. El control falla si una conexión Site-to-Site VPN no tiene habilitados CloudWatch los registros para ambos túneles.

AWS Site-to-Site Los registros de VPN le proporcionan una mayor visibilidad de sus despliegues de Site-to-Site VPN. Con esta función, tiene acceso a los registros de conexión Site-to-Site VPN que proporcionan detalles sobre el establecimiento del túnel de seguridad IP (IPsec), las negociaciones sobre el intercambio de claves de Internet (IKE) y los mensajes del protocolo de detección de pares muertos (DPD). Site-to-Site Los registros de VPN se pueden publicar en CloudWatch Logs. Esta función proporciona a los clientes una forma única y coherente de acceder a los registros detallados de todas sus conexiones Site-to-Site VPN y analizarlos.

### Corrección
<a name="ec2-171-remediation"></a>

Para habilitar el registro de túneles en una conexión VPN de EC2, consulte [los registros de AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs) en la *Guía del usuario de AWS Site-to-Site VPN*.

## [EC2.172] Los ajustes de Bloqueo de acceso público de las VPC de EC2 deben bloquear el tráfico de las puertas de enlace de Internet
<a name="ec2-172"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::VPCBlockPublicAccessOptions`

**AWS Config regla:** `ec2-vpc-bpa-internet-gateway-blocked` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `vpcBpaInternetGatewayBlockMode`  |  Valor de cadena del modo de opciones de bloqueo de acceso público de la VPC.  |  Enum  |  `block-bidirectional`, `block-ingress`  |  Sin valor predeterminado  | 

Este control comprueba si los ajustes de acceso público (BPA) de la VPC de Amazon EC2 están configurados para bloquear el tráfico de las puertas de enlace de Internet para todos los Amazon del. VPCs Cuenta de AWS El control falla si la configuración de bloqueo de acceso público de la VPC no está establecida para bloquear el tráfico de puerta de enlace de Internet. Para que el control pase, la opción de `InternetGatewayBlockMode` de bloqueo de acceso público de la VPC debe estar establecida en `block-bidirectional` o `block-ingress`. Si se proporciona el parámetro `vpcBpaInternetGatewayBlockMode`, el control pasa únicamente si el valor de bloqueo de acceso público de la VPC para `InternetGatewayBlockMode` coincide con el parámetro.

Configurar los ajustes de BPA de la VPC para su cuenta en y Región de AWS le permite bloquear los recursos VPCs y las subredes de su propiedad en esa región para que no lleguen o sean accesibles desde Internet a través de puertas de enlace de Internet y puertas de enlace de Internet solo de salida. Si necesita subredes VPCs AND específicas para poder acceder o ser accesible desde Internet, puede excluirlas configurando las exclusiones de BPA de la VPC. Para obtener instrucciones sobre cómo crear y eliminar exclusiones, consulte [Creación y eliminación de exclusiones](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions) en la *Guía del usuario de Amazon VPC*.

### Corrección
<a name="ec2-172-remediation"></a>

Para habilitar el bloqueo de acceso público bidireccional a nivel de la cuenta, consulte [Habilitación del modo bidireccional de BPA para la cuenta](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir) en la *Guía del usuario de Amazon VPC*. Para habilitar el bloqueo de acceso público solo de entrada, consulte [Cómo cambiar el modo de bloqueo de acceso público de la VPC a solo de entrada](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only). Para habilitar el bloqueo de acceso público de la VPC a nivel de la organización, consulte [Habilitación del bloqueo de acceso público de la VPC a nivel de la organización](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs).

## [EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados
<a name="ec2-173"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::SpotFleet`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si una solicitud de flota de Spot de Amazon EC2 que especifica parámetros de lanzamiento está configurada para habilitar el cifrado de todos los volúmenes de Amazon Elastic Block Store (Amazon EBS) asociados a instancias de EC2. El control falla si la solicitud de flota de spot especifica parámetros de lanzamiento y no habilita el cifrado para uno o más volúmenes EBS indicados en la solicitud.

Para mayor seguridad, debe habilitar el cifrado de los volúmenes de Amazon EBS. Las operaciones de cifrado se realizan en los servidores que alojan las instancias de Amazon EC2, lo que ayuda a garantizar la seguridad tanto de los datos en reposo como de los datos en tránsito entre una instancia y el almacenamiento de EBS asociado. El cifrado de Amazon EBS es una solución de cifrado sencilla para los recursos de EBS asociados a las instancias de EC2. Con el cifrado de EBS, no necesita crear, mantener ni proteger una infraestructura de administración de claves propia. El cifrado EBS AWS KMS keys se utiliza al crear volúmenes cifrados.

**Notas**  
Este control no genera resultados para las solicitudes de flota de spot de Amazon EC2 que usan plantillas de lanzamiento. Tampoco genera resultados para las solicitudes de flota de spot que no especifican explícitamente un valor para el parámetro `encrypted`.

### Corrección
<a name="ec2-173-remediation"></a>

No existe una manera directa de cifrar un volumen de Amazon EBS existente que no esté cifrado. Solo puede cifrar un volumen nuevo cuando lo crea.

Sin embargo, si habilita el cifrado de manera predeterminada, Amazon EBS cifra los volúmenes nuevos con la clave predeterminada para el cifrado de EBS. Si no habilita el cifrado de manera predeterminada, puede habilitar el cifrado cuando crea un volumen individual. En ambos casos, puede reemplazar la clave predeterminada para el cifrado de EBS y elegir una clave de AWS KMS key administrada por el cliente. Para obtener más información sobre el cifrado de EBS, consulte el [Cifrado de Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) en la *Guía del usuario de Amazon EBS*.

Para obtener información sobre cómo crear una solicitud de flota de spot de Amazon EC2, consulte [Creación de una flota de spot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html) en la *Guía del usuario de Amazon Elastic Compute Cloud*.

## [EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
<a name="ec2-174"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::DHCPOptions`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control verifica si un conjunto de opciones de DHCP de Amazon EC2 tiene las claves de `requiredKeyTags` especificadas por el parámetro . El control falla si el conjunto de opciones no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el conjunto de opciones no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="ec2-174-remediation"></a>

Para obtener información sobre cómo agregar etiquetas a un conjunto de opciones de DHCP de Amazon EC2, consulte [Etiquetado de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
<a name="ec2-175"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::LaunchTemplate`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control verifica si una plantilla de lanzamiento de Amazon EC2 tiene las claves de etiqueta especificadas por el parámetro `requiredKeyTags`. El control falla si la plantilla de lanzamiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si usted no especifica ningún valor para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si la plantilla de lanzamiento no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="ec2-175-remediation"></a>

Para obtener información sobre cómo agregar tags a una plantilla de lanzamiento de Amazon EC2, consulte [Etiquetado de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
<a name="ec2-176"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::PrefixList`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control realiza una comprobación para verificar si una lista de prefijos de Amazon EC2 tiene las claves de etiquetas especificadas por el parámetro `requiredKeyTags`. El control falla si la lista de prefijos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si uno especifica valores para el parámetro `requiredKeyTags`, el control solo realiza una comprobación de la existencia de una clave de etiqueta y falla si la lista de prefijos no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="ec2-176-remediation"></a>

Para obtener información sobre cómo agregar etiquetas a una lista de prefijos de Amazon EC2, consulte [Etiquetad de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
<a name="ec2-177"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::TrafficMirrorSession`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control verifica si una sesión de duplicación de tráfico de Amazon EC2 tiene las claves de etiqueta especificadas por el parámetro `requiredKeyTags`. El control falla si la sesión no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica valores para el parámetro `requiredKeyTags`, el control solo realiza una comprobación de la existencia de una clave de de etiqueta y falla si la sesión no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="ec2-177-remediation"></a>

Para obtener información sobre cómo agregar etiquetas a una sesión de duplicación de tráfico de Amazon EC2, consulte [Etiquetado de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados
<a name="ec2-178"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::TrafficMirrorFilter`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control verificar si un filtro de duplicación de tráfico de Amazon EC2 tiene las claves de etiqueta especificadas por el parámetro `requiredKeyTags`. El control falla si el filtro no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el filtro no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="ec2-178-remediation"></a>

Para obtener información sobre cómo agregar etiquetas a un filtro de duplicación de tráfico de Amazon EC2, consulte [Etiquetado de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
<a name="ec2-179"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EC2::TrafficMirrorTarget`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control verifica si un destino de duplicación de tráfico de Amazon EC2 tiene las claves de etiqueta especificadas por el parámetro `requiredKeyTags`. El control falla si el destino no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control comprueba únicamente la existencia de una clave de etiqueta y falla si el destino no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="ec2-179-remediation"></a>

Para obtener información sobre cómo agregar etiquetas a un destino de duplicación de tráfico de Amazon EC2, consulte [Etiquetado de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination
<a name="ec2-180"></a>

**Categoría**: Proteger > Seguridad de red

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::NetworkInterface`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la source/destination comprobación está habilitada para una interfaz de red elástica (ENI) Amazon EC2 administrada por los usuarios. El control falla si la source/destination verificación está deshabilitada para la ENI administrada por el usuario. Este control comprueba únicamente los siguientes tipos de ENIs: `aws_codestar_connections_managed``branch`,`efa`, `interface``lambda`, y`quicksight`.

Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destinationvalidación de direcciones, que garantiza que una instancia sea el origen o el destino del tráfico que reciba. Esto proporciona un nivel adicional de seguridad de red al evitar que los recursos procesen tráfico no deseado y al impedir la suplantación de direcciones IP.

**nota**  
Si utiliza una instancia EC2 como instancia de NAT y ha desactivado la source/destination comprobación de su ENI, puede utilizar una [puerta de enlace NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) en su lugar.

### Corrección
<a name="ec2-180-remediation"></a>

Para obtener información sobre cómo habilitar las source/destination comprobaciones para una ENI de Amazon EC2, consulte [Modificar los atributos de la interfaz de red](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check) en la Guía del usuario de *Amazon EC2*.

## [EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados
<a name="ec2-181"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::EC2::LaunchTemplate`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si una plantilla de lanzamiento de Amazon EC2 habilita el cifrado para todos los volúmenes de EBS asociados. El control falla si el parámetro de cifrado está establecido en `False` para cualquiera de los volúmenes de EBS especificados por la plantilla de lanzamiento de EC2.

El cifrado de Amazon EBS es una solución de cifrado sencilla para los recursos de EBS asociados a las instancias de Amazon EC2. Con el cifrado de EBS, no necesita crear, mantener ni proteger una infraestructura de administración de claves propia. El cifrado de EBS usa AWS KMS keys al crear volúmenes cifrados e instantáneas. Las operaciones de cifrado se realizan en los servidores que alojan instancias de EC2, lo que ayuda a garantizar la seguridad de los datos en reposo y en tránsito entre una instancia de EC2 y su almacenamiento EBS asociado. Para obtener más información, consulte [Cifrado de Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) en la *Guía del usuario de Amazon EBS*.

Puede habilitar el cifrado de EBS durante los lanzamientos manuales de instancias individuales de EC2. Sin embargo, existen varios beneficios al usar plantillas de lanzamiento de EC2 y configurar ajustes de cifrado en esas plantillas. Puede aplicar el cifrado como estándar y garantizar el uso de configuraciones de cifrado coherentes. También puede reducir el riesgo de errores y brechas de seguridad que podrían ocurrir con lanzamientos manuales de instancias.

**nota**  
Cuando este control verifica una plantilla de lanzamiento de EC2, solo evalúa los ajustes de cifrado de EBS que se especifican explícitamente en la plantilla. La evaluación no incluye configuraciones de cifrado heredadas del cifrado a nivel de cuenta para EBS, asignaciones de dispositivos de bloque de AMI o estados de cifrado de instantáneas de origen.

### Corrección
<a name="ec2-181-remediation"></a>

Después de crear una plantilla de lanzamiento de Amazon EC2, no puede modificarla. Sin embargo, puede crear una nueva versión de una plantilla de lanzamiento y cambiar los ajustes de cifrado en esa nueva versión de la plantilla. También puede especificar la nueva versión como la versión predeterminada de la plantilla de lanzamiento. Luego, si lanza una instancia de EC2 desde una plantilla de lanzamiento y no especifica una versión de plantilla, EC2 usa los ajustes de la versión predeterminada cuando lanza la instancia. Para obtener más información, consulte [Modificación de una plantilla de lanzamiento](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) en la *Guía del usuario de Amazon EC2*.

## [EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público
<a name="ec2-182"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::EC2::SnapshotBlockPublicAccess`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

El control comprueba si la opción Bloquear el acceso público está habilitada para impedir que se compartan todas las instantáneas de Amazon EBS. El control falla si la opción Bloquear el acceso público no está habilitada para bloquear todo el uso compartido de todas las instantáneas de Amazon EBS.

Para evitar que se compartan públicamente sus instantáneas de Amazon EBS, puede habilitar el bloqueo del acceso público a las instantáneas. Una vez activado el bloqueo del acceso público a las instantáneas en una región, se bloquea automáticamente cualquier intento de compartir públicamente las instantáneas en esa región. Esto ayuda a mejorar la seguridad de las instantáneas y a proteger los datos de las instantáneas contra el acceso no autorizado o no intencionado. 

### Corrección
<a name="ec2-182-remediation"></a>

Para habilitar el acceso público bloqueado para las instantáneas, consulte [Configurar el acceso público bloqueado para las instantáneas de Amazon EBS en la Guía del usuario](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html) de *Amazon EBS*. En **Bloquear el acceso público**, seleccione **Bloquear** todo el acceso público.

# Controles CSPM de Security Hub para Auto Scaling
<a name="autoscaling-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon EC2 Auto Scaling.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB
<a name="autoscaling-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.2, Nist.800-53.r5 CP-2 (2) NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-2

**Categoría:** Identificar - Inventario

**Gravedad:** baja

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de Amazon EC2 Auto Scaling asociado a un balanceador de cargas utiliza comprobaciones de estado de Elastic Load Balancing (ELB). El control falla si el grupo de escalado automático no utiliza comprobaciones de estado de ELB.

Las comprobaciones de estado de ELB ayudan a garantizar que el grupo de escalado automático pueda determinar el estado de una instancia en función de las pruebas adicionales que proporciona el equilibrador de carga. El uso de comprobaciones de estado de Elastic Load Balancing también ayuda a respaldar la disponibilidad de las aplicaciones que utilizan grupos de EC2 Auto Scaling.

### Corrección
<a name="autoscaling-1-remediation"></a>

Para añadir comprobaciones de estado de Elastic Load Balancing, consulte [Añadir comprobaciones de estado de Elastic Load Balancing](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console) en la *Guía del usuario de Amazon EC2 Auto Scaling*.

## [AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
<a name="autoscaling-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Cantidad mínima de zonas de disponibilidad  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Este control comprueba si un grupo de Amazon EC2 Auto Scaling abarca al menos el número especificado de zonas de disponibilidad (AZs). El control falla si un grupo de Auto Scaling no abarca al menos el número especificado de AZs. A menos que proporcione un valor de parámetro personalizado para el número mínimo de AZs, el CSPM de Security Hub utiliza un valor predeterminado de dos. AZs

Un grupo de Auto Scaling que no abarque varias zonas no AZs puede lanzar instancias en otra zona de disponibilidad para compensar si la zona de disponibilidad única configurada deja de estar disponible. Sin embargo, en algunos casos de uso, puede preferirse un grupo de escalado automático con una sola zona de disponibilidad, como los trabajos por lotes o cuando los costos de transferencia entre zonas de disponibilidad deben mantenerse al mínimo. En esos casos, puede deshabilitar este control o suprimir sus resultados. 

### Corrección
<a name="autoscaling-2-remediation"></a>

Para añadir AZs a un grupo de Auto Scaling existente, consulte [Añadir y eliminar zonas de disponibilidad](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*.

## [AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)
<a name="autoscaling-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, NISt.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.6

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta

**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si IMDSv2 está activado en todas las instancias lanzadas por los grupos de Amazon EC2 Auto Scaling. El control falla si la versión del Instance Metadata Service (IMDS) no está incluida en la configuración de lanzamiento o si está configurada como`token optional`, que es una configuración que permite una IMDSv1 u IMDSv2 otra.

El IMDS brinda datos sobre una instancia que puede utilizar para configurar o administrar la instancia en ejecución.

La versión 2 del IMDS añade nuevas protecciones que no estaban disponibles IMDSv1 para proteger aún más las instancias EC2 .

### Corrección
<a name="autoscaling-3-remediation"></a>

Un grupo de escalado automático asocia con una configuración de lanzamiento cada vez. No se puede modificar una configuración de lanzamiento después de crearla. Para cambiar la configuración de lanzamiento de un grupo de Auto Scaling, utilice una configuración de lanzamiento existente como base para una nueva configuración de lanzamiento con IMDSv2 Enabled. Para obtener más información, consulta [Configurar las opciones de metadatos de instancia para nuevas instancias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) en la *Guía del EC2 usuario de Amazon*.

## [AutoScaling.4] La configuración de inicio de grupos de Auto Scaling no debe tener un límite de saltos de respuesta de metadatos superior a 1
<a name="autoscaling-4"></a>

**importante**  
Security Hub CSPM retiró este control en abril de 2024. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NISt.800-53.r5 CM-2 (2)

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta

**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba el número de saltos de red que puede recorrer un token de metadatos. El control falla si el límite de saltos de respuesta de los metadatos es superior a `1`.

El Instance Metadata Service (IMDS) proporciona información de metadatos sobre una EC2 instancia de Amazon y es útil para la configuración de aplicaciones. Restringir la `PUT` respuesta HTTP del servicio de metadatos a solo la EC2 instancia protege al IMDS del uso no autorizado.

El campo Tiempo de vida (TTL) del paquete IP se reduce en uno en cada salto. Esta reducción se puede utilizar para garantizar que el paquete no viaje al exterior EC2. IMDSv2 protege EC2 las instancias que pueden estar mal configuradas como enrutadores abiertos, firewalls de capa 3, VPNs túneles o dispositivos NAT, lo que impide que los usuarios no autorizados recuperen los metadatos. Con IMDSv2, la `PUT` respuesta que contiene el token secreto no puede viajar fuera de la instancia porque el límite de saltos de respuesta de metadatos predeterminado está establecido en. `1` Sin embargo, si este valor es superior a`1`, el token puede salir de la EC2 instancia. 

### Corrección
<a name="autoscaling-4-remediation"></a>

Para modificar el límite de saltos de respuesta de metadatos para una configuración de lanzamiento existente, consulta [Modificar las opciones de metadatos de instancias para instancias existentes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances) en la *Guía del EC2 usuario de Amazon*.

## [AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas
<a name="autoscaling-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::AutoScaling::LaunchConfiguration`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la configuración de lanzamiento asociada a un grupo de escalado automático asigna una [dirección IP pública](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses) a las instancias del grupo. El control falla si la configuración de lanzamiento asociada asigna una dirección IP pública.

 EC2 Las instancias de Amazon en una configuración de lanzamiento grupal de Auto Scaling no deben tener una dirección IP pública asociada, excepto en casos extremos limitados. Solo se debe poder acceder a las EC2 instancias de Amazon desde detrás de un balanceador de carga, en lugar de estar expuestas directamente a Internet.

### Corrección
<a name="autoscaling-5-remediation"></a>

Un grupo de escalado automático asocia con una configuración de lanzamiento cada vez. No se puede modificar una configuración de lanzamiento después de crearla. Para cambiar la configuración de lanzamiento de un grupo de escalado automático, utilice una configuración de lanzamiento existente como punto de partida para una nueva configuración de lanzamiento. A continuación, actualice el grupo de escalado automático para utilizar la nueva configuración de lanzamiento. Para step-by-step obtener instrucciones, consulte [Cambiar la configuración de lanzamiento de un grupo de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*. Al crear la nueva configuración de lanzamiento, en **Configuración adicional**, en **Detalles avanzados, tipo de dirección IP**, seleccione **No asignar una dirección IP pública a ninguna instancia**.

Después de cambiar la configuración de lanzamiento, Auto Scaling lanza nuevas instancias con las nuevas opciones de configuración. Las instancias existentes no se ven afectadas. Para actualizar una instancia existente, le recomendamos que actualice su instancia o permita que el escalado automático reemplace gradualmente las instancias más antiguas por instancias más recientes en función de sus políticas de terminación. Para obtener más información sobre la actualización de las instancias de Auto Scaling, consulte [Actualizar instancias de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances) en la *Guía del usuario de Amazon EC2 Auto Scaling*.

## [AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad
<a name="autoscaling-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de Amazon EC2 Auto Scaling utiliza varios tipos de instancias. El control falla si el grupo de escalado automático solo tiene un tipo de instancia definido.

Puede mejorar la disponibilidad si implementa la aplicación en varios tipos de instancia que se ejecutan en varias zonas de disponibilidad. Security Hub CSPM recomienda usar varios tipos de instancias para que el grupo de Auto Scaling pueda lanzar otro tipo de instancia si la capacidad de instancias es insuficiente en las zonas de disponibilidad elegidas.

### Corrección
<a name="autoscaling-6-remediation"></a>

Para crear un grupo de Auto Scaling con varios tipos de instancias, consulte [Grupos de Auto Scaling con varios tipos de instancias y opciones de compra](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*.

## [AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon
<a name="autoscaling-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NISt.800-53.r5 CM-2 (2)

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si se ha creado un grupo de Amazon EC2 Auto Scaling a partir de una plantilla de EC2 lanzamiento. Este control falla si no se crea un grupo de Amazon EC2 Auto Scaling con una plantilla de lanzamiento o si no se especifica una plantilla de lanzamiento en una política de instancias mixtas.

Se puede crear un grupo de EC2 Auto Scaling a partir de una plantilla de EC2 lanzamiento o una configuración de lanzamiento. Sin embargo, el uso de una plantilla de lanzamiento para crear un grupo de escalado automático garantiza que tenga acceso a las funciones y mejoras más recientes.

### Corrección
<a name="autoscaling-9-remediation"></a>

Para crear un grupo de Auto Scaling con una plantilla de EC2 lanzamiento, consulte [Creación de un grupo de Auto Scaling mediante una plantilla de lanzamiento](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*. Para obtener información sobre cómo reemplazar una configuración de lanzamiento por una plantilla de lanzamiento, consulta [Reemplazar una configuración de lanzamiento por una plantilla de lanzamiento](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html) en la *Guía del EC2 usuario de Amazon*.

## [AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados
<a name="autoscaling-10"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config regla:** `tagged-autoscaling-autoscalinggroup` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un grupo de Amazon EC2 Auto Scaling tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el grupo de escalado automático no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el grupo de escalado automático no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="autoscaling-10-remediation"></a>

Para añadir etiquetas a un grupo de Auto Scaling, consulte [Etiquetar grupos e instancias de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html) en la *Guía del usuario de Amazon EC2 Auto Scaling*.

# Controles CSPM de Security Hub para Amazon ECR
<a name="ecr-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Elastic Container Registry (Amazon ECR).

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
<a name="ecr-1"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/6.2.3 NIST.800-53.r5 RA-5, PCI DSS v4.0.1/6.2.4

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECR::Repository`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un repositorio privado de Amazon ECR tiene configurado el escaneo de imágenes. El control falla si el repositorio de ECR privado no está configurado para el escaneo instantáneo o continuo.

El escaneo de imágenes de ECR ayuda a identificar vulnerabilidades de software en las imágenes de contenedor. La configuración del escaneo de imágenes en los repositorios de ECR añade un nivel de verificación de la integridad y la seguridad de las imágenes que se almacenan.

### Corrección
<a name="ecr-1-remediation"></a>

Para configurar el escaneo de imágenes para un repositorio de ECR, consulte el [Escaneo de imágenes](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html) en la *Guía del usuario de Amazon Elastic Container Registry*.

## [ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
<a name="ecr-2"></a>

**Requisitos relacionados**: (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 CM-8 (1) NIST.800-53.r5 CA-9

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** media

**Tipo de recurso:** `AWS::ECR::Repository`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un repositorio de ECR privado tiene habilitada la inmutabilidad de etiquetas. Este control falla si un repositorio de ECR privado tiene deshabilitada la inmutabilidad de etiquetas. Esta regla se aplica si la inmutabilidad de la etiqueta está habilitada y tiene el valor `IMMUTABLE`.

La inmutabilidad de las etiquetas ECR de Amazon permite a los clientes confiar en las etiquetas descriptivas de una imagen como un mecanismo fiable para rastrear e identificar las imágenes de forma única. Una etiqueta inmutable es estática, lo que significa que cada etiqueta hace referencia a una imagen única. Esto mejora la fiabilidad y la escalabilidad, ya que el uso de una etiqueta estática siempre tendrá como resultado la implementación de la misma imagen. Cuando se configura, la inmutabilidad de las etiquetas evita que se anulen, lo que reduce la superficie expuesta a ataques.

### Corrección
<a name="ecr-2-remediation"></a>

Para crear un repositorio con etiquetas inmutables configuradas o para actualizar la configuración de mutabilidad de las etiquetas de imagen de un repositorio existente, consulte la [Mutabilidad de las etiquetas](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html) de imagen en la *Guía del usuario de Amazon Elastic Container registry*.

## [ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
<a name="ecr-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 CM-2 (2)

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::ECR::Repository`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un repositorio de Amazon ECR tiene configurada al menos una política de ciclo de vida. Este control falla si un repositorio de ECR no tiene ninguna política de ciclo de vida configurada.

Las políticas de ciclo de vida de Amazon ECR permiten especificar la administración de ciclo de vida de las imágenes de un repositorio. Al configurar las políticas del ciclo de vida, puede automatizar la limpieza de las imágenes sin utilizar y la caducidad de las imágenes en función de su antigüedad o recuento. La automatización de estas tareas puede ayudarte a evitar el uso involuntario de imágenes desactualizadas en tu repositorio.

### Corrección
<a name="ecr-3-remediation"></a>

Para configurar una política de ciclo de vida, consulte la [Vista previa sobre cómo crear una política de ciclo de vida](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html) en la *Guía del usuario de Amazon Elastic Container Registry*.

## [ECR.4] Los repositorios públicos de ECR deben estar etiquetados
<a name="ecr-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::ECR::PublicRepository`

**AWS Config regla:** `tagged-ecr-publicrepository` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un repositorio público de Amazon ECR tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el repositorio público no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el repositorio público no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="ecr-4-remediation"></a>

Para agregar etiquetas a un repositorio público de ECR, consulte [Tagging an Amazon ECR public repository](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html) en la *Guía del usuario de Amazon Elastic Container Registry*.

## [ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys
<a name="ecr-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 NIst.800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6), NISt.800-53.r5 AU-9

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::ECR::Repository`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Una lista de los nombres de recursos de Amazon (ARNs) AWS KMS keys para incluirlos en la evaluación. El control genera un resultado `FAILED` si un repositorio de ECR no está cifrado con una clave de KMS incluida en la lista.  |  StringList (máximo de 10 artículos)  |  De 1 a 10 ARNs de las claves KMS existentes. Por ejemplo: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`  |  Sin valor predeterminado  | 

Este control verifica si un repositorio de Amazon ECR está cifrado en reposo con una clave de AWS KMS key administrada por el cliente. El control falla si el repositorio de ECR no está cifrado con una clave de KMS administrada por el cliente. Puede especificar opcionalmente una lista de claves de KMS para que el control las incluya en la evaluación.

De manera predeterminada, Amazon ECR cifra los datos del repositorio con claves administradas por Amazon S3 (SSE-S3), con un algoritmo AES-256. Para obtener un control adicional, puede configurar Amazon ECR para que cifre los datos con un AWS KMS key (SSE-KMS o DSSE-KMS) en su lugar. La clave de KMS puede ser: una Clave administrada de AWS que Amazon ECR crea y administra en su nombre, y tiene el alias `aws/ecr`, o una clave administrada por el cliente que crea y administra en la Cuenta de AWS. Con una clave de KMS administrada por el cliente, ejerce control pleno sobre la clave. Esto incluye definir y mantener la política de claves, administrar concesiones, rotar el material criptográfico, asignar etiquetas, crear alias, y habilitar y deshabilitar la clave.

**nota**  
AWS KMS admite el acceso entre cuentas a las claves de KMS. Si un repositorio de ECR está cifrado con una clave de KMS que pertenece a otra cuenta, este control no realiza comprobaciones entre cuentas cuando evalúa el repositorio. El control no evalúa si Amazon ECR puede acceder y usar la clave al realizar operaciones criptográficas para el repositorio.

### Corrección
<a name="ecr-5-remediation"></a>

No puede cambiar la configuración de cifrado de un repositorio de ECR existente. Sin embargo, puede especificar configuraciones de cifrado diferentes para los repositorios de ECR que cree posteriormente. Amazon ECR admite el uso de configuraciones de cifrado diferentes para repositorios individuales.

Para obtener más información sobre las opciones de cifrado para repositorios de ECR, consulte [Cifrado en reposo](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) en la *Guía del usuario de Amazon ECR*. Para obtener más información sobre la gestión por parte del cliente AWS KMS keys, consulte [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)la *Guía para AWS Key Management Service desarrolladores*.

# Controles CSPM de Security Hub para Amazon ECS
<a name="ecs-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Elastic Container Service (Amazon ECS). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario
<a name="ecs-1"></a>

**importante**  
Security Hub CSPM retiró este control en marzo de 2026. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md). Puede consultar los siguientes controles para evaluar la configuración privilegiada, la configuración en modo de red y la configuración de usuario:   
 [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](#ecs-4) 
 [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](#ecs-17) 
 [[ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux](#ecs-20) 
 [[ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows](#ecs-21) 

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `SkipInactiveTaskDefinitions`: `true` (no personalizable)

Este control comprueba si una definición de tarea de Amazon ECS activa con el modo de red de host tiene definiciones de contenedor de `privileged` o `user`. El control falla para definiciones de tarea que tienen modo de red host y definiciones de contenedor de `privileged=false`, vacío y `user=root`, o vacío.

Este control solo evalúa la última revisión activa de una definición de tarea de Amazon ECS.

El objetivo de este control es garantizar que el acceso se defina intencionalmente cuando se ejecutan tareas que utilizan el modo de red host. Si la definición de una tarea tiene privilegios elevados, es porque ha elegido esa configuración. Este control comprueba si hay una escalada inesperada de privilegios cuando la definición de una tarea tiene habilitada la red host y no se eligen privilegios elevados.

### Corrección
<a name="ecs-1-remediation"></a>

Para obtener información sobre cómo actualizar una definición de tarea, consulte [Actualización de una definición de tarea](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

Al actualizar una definición de tarea, no se actualizan las tareas en ejecución que se iniciaron a partir de la definición de tarea anterior. Para actualizar una tarea en ejecución, debe volver a implementar la tarea con la nueva definición de tarea.

## [ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente
<a name="ecs-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::Service`

**AWS Config regla:** `ecs-service-assign-public-ip-disabled` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los servicios de Amazon ECS están configurados para asignar direcciones IP públicas de forma automática. Este control tiene errores si `AssignPublicIP` figura como `ENABLED`. Este control se aprueba si `AssignPublicIP` figura como `DISABLED`.

Una dirección IP pública es una dirección IP a la que se puede tener acceso desde Internet. Si lanza sus instancias de Amazon ECS con una dirección IP pública, podrá acceder a sus instancias de Amazon ECS desde Internet. Los servicios de Amazon ECS no deben ser de acceso público, ya que esto podría permitir el acceso no deseado a los servidores de aplicaciones contenedoras.

### Corrección
<a name="ecs-2-remediation"></a>

En primer lugar, debe crear una definición de tareas para el clúster que utilice el modo de red `awsvpc` y especifique **FARGATE** para `requiresCompatibilities`. A continuación, para la **configuración de cómputo**, elija el **Tipo de lanzamiento** y **FARGATE**. Por último, en el campo **Redes**, desactive la **IP pública** para deshabilitar la asignación automática de IP pública para su servicio.

## [ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión
<a name="ecs-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las definiciones de tareas de Amazon ECS están configuradas para compartir el espacio de nombres de procesos de un host con sus contenedores. El control falla si la definición de la tarea comparte el espacio de nombres del proceso del host con los contenedores que se ejecutan en él. Este control solo evalúa la última revisión activa de una definición de tarea de Amazon ECS.

Un espacio de nombres de ID de proceso (PID) proporciona separación entre los procesos. Evita que los procesos del sistema sean visibles y permite PIDs su reutilización, incluido el PID 1. Si el espacio de nombres PID del host se comparte con los contenedores, los contenedores podrían ver todos los procesos del sistema anfitrión. Esto reduce la ventaja del aislamiento a nivel de proceso entre el host y los contenedores. Estas circunstancias podrían provocar el acceso no autorizado a los procesos del propio host, incluida la posibilidad de manipularlos y cancelarlos. Los clientes no deberían compartir el espacio de nombres de los procesos del anfitrión con los contenedores que se ejecuten en él.

### Corrección
<a name="ecs-3-remediation"></a>

Para configurar el `pidMode` de la definición de una tarea, consulte [Parámetros de definición de tareas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) en la Guía para desarrolladores de Amazon Elastic Container Service.

## [ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
<a name="ecs-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Categoría**: Proteger > Gestión del acceso seguro > Restricciones de acceso para los usuarios raíz

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el parámetro `privileged` de la definición de contenedor de las definiciones de tareas de Amazon ECS se establece como `true`. El control falla si este parámetro es igual a `true`. Este control solo evalúa la última revisión activa de una definición de tarea de Amazon ECS.

Le recomendamos que elimine los privilegios elevados de las definiciones de tareas de ECS. Cuando el parámetro de privilegio es `true`, al contenedor se le conceden privilegios elevados en la instancia de contenedor de host (similares a los de un usuario raíz).

### Corrección
<a name="ecs-4-remediation"></a>

Para configurar el parámetro `privileged` en una definición de tarea, consulte [Parámetros de definición avanzada de contenedor](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) en la Guía para desarrolladores de Amazon Elastic Container Service.

## [ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz
<a name="ecs-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las definiciones de tareas de ECS configuran los contenedores para que se limite al acceso de solo lectura a los sistemas de archivos raíz montados. El control falla si el `readonlyRootFilesystem` parámetro de las definiciones de contenedor de la definición de tareas de ECS está establecido en`false`, o si el parámetro no existe en la definición de contenedor dentro de la definición de tarea. Este control evalúa únicamente la última revisión activa de una definición de tarea de Amazon ECS.

Si el parámetro `readonlyRootFilesystem` está establecido en `true` en una definición de tarea de Amazon ECS, al contenedor de ECS se le concede acceso de solo lectura al sistema de archivos raíz. Esto reduce los vectores de ataque de seguridad, porque el sistema de archivos raíz de la instancia del contenedor no puede ser modificado ni escrito sin montajes de volúmenes explícitos que tengan permisos de lectura y escritura para carpetas y directorios del sistema de archivos. Habilitar esta opción también contribuye a aplicar el principio de privilegio mínimo.

**nota**  
El `readonlyRootFilesystem` parámetro no es compatible con los contenedores de Windows. Las definiciones de tareas `runtimePlatform` configuradas para especificar una familia de `WINDOWS_SERVER` sistemas operativos se marcan como `NOT_APPLICABLE` y no generarán resultados para este control. 

### Corrección
<a name="ecs-5-remediation"></a>

Para otorgar a un contenedor de Amazon ECS acceso de solo lectura a su sistema de archivos raíz, agregue el parámetro `readonlyRootFilesystem` a la definición de la tarea para el contenedor y establezca el valor del parámetro en `true`. Para obtener información sobre los parámetros de definición de tareas y cómo agregarlos a una definición de tarea, consulte [Definiciones de tareas de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) y [Actualización de una definición de tarea](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
<a name="ecs-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/8.6.2

**Categoría:** Proteger > Desarrollo seguro > Credenciales no codificadas

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** `secretKeys`: `AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`,`ECS_ENGINE_AUTH_DATA` (no personalizable) 

Este control comprueba si el valor clave de alguna variable del parámetro `environment` de las definiciones de contenedores incluye `AWS_ACCESS_KEY_ID`, `AWS_SECRET_ACCESS_KEY`, o `ECS_ENGINE_AUTH_DATA`. Este control falla si una sola variable de entorno en cualquier definición de contenedor es igual a `AWS_ACCESS_KEY_ID`, `AWS_SECRET_ACCESS_KEY`, o `ECS_ENGINE_AUTH_DATA`. Este control no cubre las variables de entorno que se transmiten desde otras ubicaciones, como Amazon S3. Este control solo evalúa la última revisión activa de una definición de tarea de Amazon ECS.

AWS Systems Manager Parameter Store puede ayudarlo a mejorar la postura de seguridad de su organización. Le recomendamos que utilice el almacén de parámetros para almacenar los secretos y las credenciales en lugar de pasarlos directamente a las instancias contenedoras o codificarlos en el código.

### Corrección
<a name="ecs-8-remediation"></a>

Para crear parámetros mediante SSM, consulte [Creación de parámetros de Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) en la *Guía del usuario de AWS Systems Manager *. Para obtener más información sobre cómo crear una definición de tarea que especifique un secreto, consulte [Especificar datos confidenciales mediante Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
<a name="ecs-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIst.800-53.r5 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**AWS Config regla ecs-task-definition-log**[:](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html) -configuración

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la última definición de tarea activa de Amazon ECS tiene una configuración de registro especificada. El control falla si la definición de la tarea no tiene la propiedad definida `logConfiguration` o si el valor `logDriver` es null en al menos una definición de contenedor.

El registro le ayuda a mantener la fiabilidad, la disponibilidad y el rendimiento de Amazon ECS. La recopilación de datos de las definiciones de tareas proporciona visibilidad, lo que puede ayudarle a depurar los procesos y encontrar la causa raíz de los errores. Si utiliza una solución de registro que no tiene que estar definida en la definición de tareas de ECS (como una solución de registro de terceros), puede deshabilitar este control después de asegurarse de que los registros se capturan y entregan correctamente.

### Corrección
<a name="ecs-9-remediation"></a>

Para definir una configuración de registro para las definiciones de tareas de Amazon ECS, consulte [Especificar una configuración de registro en la definición de tareas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) de la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate
<a name="ecs-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::ECS::Service`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `latestLinuxVersion: 1.4.0` (no personalizable)
+ `latestWindowsVersion: 1.0.0` (no personalizable)

Este control comprueba si los servicios Fargate de Amazon ECS ejecutan la versión más reciente de la versión de la plataforma Fargate. Este control falla si la versión de la plataforma no es la más reciente.

AWS Fargate las versiones de plataforma se refieren a un entorno de ejecución específico para la infraestructura de tareas de Fargate, que es una combinación de versiones de ejecución de kernel y contenedor. Se lanzan nuevas versiones de la plataforma a medida que evoluciona el tiempo de ejecución. Por ejemplo, se puede lanzar una nueva versión de kernel o del sistema operativo, características nuevas, correcciones de errores o actualizaciones de seguridad. Las actualizaciones y los parches de seguridad se implementan automáticamente para las tareas de Fargate. Si se detecta un problema de seguridad que afecte a una versión de la plataforma, corrija AWS la versión de la plataforma. 

### Corrección
<a name="ecs-10-remediation"></a>

Para actualizar un servicio existente, incluida su versión de la plataforma, consulte [Actualización de un servicio](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.12] Los clústeres de ECS deben usar Container Insights
<a name="ecs-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::ECS::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los clústeres de ECS utilizan Container Insights. Este control falla si Container Insights no está configurado para un clúster.

La monitorización es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de los clústeres de Amazon ECS. Utilice CloudWatch Container Insights para recopilar, agregar y resumir las métricas y los registros de sus aplicaciones y microservicios contenerizados. CloudWatch recopila automáticamente las métricas de muchos recursos, como la CPU, la memoria, el disco y la red. Información de contenedores también proporciona información de diagnóstico, como, por ejemplo, errores de reinicio de contenedores, para ayudarlo a aislar problemas y solucionarlos rápidamente. También puedes configurar CloudWatch alarmas en las métricas que recopila Container Insights.

### Corrección
<a name="ecs-12-remediation"></a>

Para usar Container Insights, consulta [Actualización de un servicio](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) en la *Guía del CloudWatch usuario de Amazon*.

## [ECS.13] Los servicios de ECS deben estar etiquetados
<a name="ecs-13"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::ECS::Service`

**AWS Config regla:** `tagged-ecs-service` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un servicio de Amazon ECS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el servicio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el servicio no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="ecs-13-remediation"></a>

Para agregar etiquetas a un servicio de ECS, consulte [Etiquetado de los recursos de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.14] Los clústeres de ECS deben etiquetarse
<a name="ecs-14"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::ECS::Cluster`

**AWS Config regla:** `tagged-ecs-cluster` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un clúster de Amazon ECS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el clúster no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="ecs-14-remediation"></a>

Para agregar etiquetas a un clúster de ECS, consulte [Etiquetado de los recursos de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.15] Las definiciones de tareas de ECS deben etiquetarse
<a name="ecs-15"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**AWS Config regla:** `tagged-ecs-taskdefinition` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una definición de tarea de Amazon ECS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si la definición de la tarea no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si la definición de la tarea no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="ecs-15-remediation"></a>

Para agregar etiquetas a una definición de tarea de ECS, consulte [Etiquetado de los recursos de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
<a name="ecs-16"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::ECS::TaskSet`

**AWS Config regla:** `ecs-taskset-assign-public-ip-disabled` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los conjuntos de tareas de Amazon ECS están configurados para asignar direcciones IP públicas de forma automática. El control tiene errores si `AssignPublicIP` está configurado como `ENABLED`,

Una dirección IP pública es una dirección a la que se puede tener acceso desde Internet. Si configura el conjunto de tareas con una dirección IP pública, se puede acceder a los recursos asociados al conjunto de tareas desde Internet. Los conjuntos de tareas de ECS no deben ser de acceso público, ya que esto podría permitir el acceso no deseado a los servidores de aplicaciones contenedoras.

### Corrección
<a name="ecs-16-remediation"></a>

Para actualizar un conjunto de tareas de ECS para que no utilice una dirección IP pública, consulte [Actualización de una definición de tareas de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
<a name="ecs-17"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15),, NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si la última revisión activa de una definición de tarea de Amazon ECS utiliza el modo de red de `host`. El control falla si la última revisión activa de la definición de tarea de ECS usa el modo de red de `host`.

Cuando se usa el modo de red de `host`, la red de un contenedor de Amazon ECS está vinculada directamente al host subyacente que ejecuta el contenedor. Como consecuencia, este modo permite que los contenedores se conecten a los servicios de red de retrobucle privados del host y que puedan hacerse pasar por el propio host. Otros inconvenientes importantes son que no existe ninguna forma de reasignar un puerto del contenedor cuando se utiliza el modo de red `host`, y que no puede ejecutar más de una sola instanciación de una tarea en cada host.

### Corrección
<a name="ecs-17-remediation"></a>

Para obtener información sobre los modos y las opciones de red para tareas de Amazon ECS que se alojan en instancias de Amazon EC2, consulte [Opciones de redes de tareas de Amazon ECS para el tipo de lanzamiento de EC2](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) en la *Guía del desarrollador de Amazon Elastic Container Service*. Para obtener información sobre cómo crear una nueva revisión de una definición de tarea y especificar un modo de red diferente, consulte [Actualización de una definición de tarea de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) en esa guía.

Si la definición de tarea de Amazon ECS la creó AWS Batch, consulte [Modos de red para AWS Batch trabajos para](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) obtener información sobre los modos de red y el uso típico de los tipos de AWS Batch trabajo y para elegir una opción segura.

## [ECS.18] Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS
<a name="ecs-18"></a>

**Categoría: Proteger > Cifrado** de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la última revisión activa de una definición de tarea de Amazon ECS utiliza el cifrado en tránsito para los volúmenes de EFS. El control falla si la última revisión activa de la definición de tarea de ECS tiene deshabilitado el cifrado en tránsito para los volúmenes de EFS.

Los volúmenes de Amazon EFS proporcionan un almacenamiento de archivos compartido simple, escalable y persistente para usarlo en sus tareas de Amazon ECS. Amazon EFS admite el cifrado de datos en tránsito con seguridad de la capa de transporte (TLS). Cuando el cifrado de datos en tránsito se declara como una opción de montaje para su sistema de archivos de EFS, Amazon EFS establece una conexión TLS segura con su sistema de archivos de EFS al montarlo.

### Corrección
<a name="ecs-18-remediation"></a>

Para obtener información sobre cómo habilitar el cifrado en tránsito para la definición de tareas de Amazon ECS con volúmenes de EFS, consulte el [paso 5: Crear una definición de tarea](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada
<a name="ecs-19"></a>

**Categoría:** Proteger > Protección de datos

**Gravedad:** media

**Tipo de recurso:** `AWS::ECS::CapacityProvider`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un proveedor de capacidad de Amazon ECS ha activado la protección de terminación gestionada. El control falla si la protección de terminación administrada no está habilitada en un proveedor de capacidad de ECS.

Los proveedores de capacidad de Amazon ECS administran el escalado de la infraestructura para las tareas de los clústeres. Cuando utiliza instancias de Amazon EC2 para su capacidad, utiliza grupos de escalado automático para administrar las instancias de Amazon EC2. La protección contra la terminación administrada permite que el escalado automático de clústeres controle qué instancias se terminan. Cuando utiliza la protección contra la terminación administrada, Amazon ECS solo termina las instancias de EC2 que no tienen ninguna tarea de Amazon ECS en ejecución.

**nota**  
Cuando se utiliza la protección de terminación administrada, también se debe usar el escalado administrado, porque, de lo contrario, la protección de terminación administrada no funciona.

### Corrección
<a name="ecs-19-remediation"></a>

Para habilitar la protección de terminación administrada para un proveedor de capacidad de Amazon ECS, consulte [Actualización de la protección de terminación administrada para los proveedores de capacidad de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux
<a name="ecs-20"></a>

**Categoría**: Proteger > Gestión del acceso seguro > Restricciones de acceso para los usuarios raíz

**Gravedad:** media

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la última revisión activa de una definición de tarea de Amazon ECS configura los contenedores de Linux para que se ejecuten como usuarios no root. El control falla si hay configurado un usuario root predeterminado o si no hay ninguna configuración de usuario para algún contenedor.

Cuando los contenedores de Linux se ejecutan con privilegios de root, presentan varios riesgos de seguridad importantes. Los usuarios root tienen acceso ilimitado al contenedor. Este acceso elevado aumenta el riesgo de que se produzcan ataques de escape de contenedores, en los que un atacante podría romper el aislamiento del contenedor y acceder al sistema host subyacente. Si un contenedor que funciona como root se ve comprometido, los atacantes podrían aprovecharlo para acceder a los recursos del sistema anfitrión o modificarlos, lo que afectaría a otros contenedores o al propio host. Además, el acceso root podría permitir ataques de escalada de privilegios, lo que permitiría a los atacantes obtener permisos adicionales más allá del alcance previsto para el contenedor. El parámetro de usuario de las definiciones de tareas de ECS puede especificar los usuarios en varios formatos, como el nombre de usuario, el ID de usuario, el nombre de usuario con grupo o el UID con ID de grupo. Es importante tener en cuenta estos diversos formatos al configurar las definiciones de tareas para garantizar que no se conceda ningún acceso root por error. Siguiendo el principio de privilegios mínimos, los contenedores deben ejecutarse con los permisos mínimos requeridos y deben ser utilizados por usuarios que no sean root. Este enfoque reduce considerablemente la superficie de ataque potencial y mitiga el impacto de posibles brechas de seguridad. 

**nota**  
Este control solo evalúa las definiciones de contenedor en una definición de tarea si `operatingSystemFamily` está configurado `LINUX` o `operatingSystemFamily` no en la definición de tarea. El control generará un `FAILED` resultado para una definición de tarea evaluada si alguna de las definiciones de contenedor de la definición de tarea `user` no se ha configurado o `user` configurado como usuario root predeterminado. Los usuarios raíz predeterminados de los `LINUX` contenedores son `"root"` y`"0"`.

### Corrección
<a name="ecs-20-remediation"></a>

Para obtener información sobre la creación de una nueva revisión de una definición de tarea de Amazon ECS y la actualización del `user` parámetro en la definición del contenedor, consulte [Actualización de una definición de tarea de Amazon ECS en la](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Guía para desarrolladores de Amazon Elastic Container Service*.

## [ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows
<a name="ecs-21"></a>

**Categoría**: Proteger > Gestión del acceso seguro > Restricciones de acceso para los usuarios raíz

**Gravedad:** media

**Tipo de recurso:** `AWS::ECS::TaskDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la última revisión activa de una definición de tarea de Amazon ECS configura los contenedores de Windows para que se ejecuten como usuarios que no son administradores predeterminados. El control falla si un administrador predeterminado está configurado como usuario o si no hay ninguna configuración de usuario en ningún contenedor.

Cuando los contenedores de Windows se ejecutan con privilegios de administrador, presentan varios riesgos de seguridad importantes. Los administradores tienen acceso ilimitado al contenedor. Este acceso elevado aumenta el riesgo de que se produzcan ataques de escape de contenedores, en los que un atacante podría romper el aislamiento del contenedor y acceder al sistema host subyacente.

**nota**  
Este control solo evalúa las definiciones de contenedor en una definición de tarea si `operatingSystemFamily` está configurado `WINDOWS_SERVER` o `operatingSystemFamily` no en la definición de tarea. El control generará un `FAILED` resultado para una definición de tarea evaluada si alguna definición de contenedor de la definición de tarea `user` no se ha configurado o `user` configurado como administrador predeterminado para `WINDOWS_SERVER` los contenedores, es `"containeradministrator"` decir.

### Corrección
<a name="ecs-21-remediation"></a>

Para obtener información sobre la creación de una nueva revisión de una definición de tarea de Amazon ECS y la actualización del `user` parámetro en la definición del contenedor, consulte [Actualización de una definición de tarea de Amazon ECS en la](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Guía para desarrolladores de Amazon Elastic Container Service*.

# Controles CSPM de Security Hub para Amazon EFS
<a name="efs-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Elastic File System (Amazon EFS). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS
<a name="efs-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.3.1, CIS AWS Foundations Benchmark v3.0.0/2.4.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si Amazon Elastic File System está configurado para cifrar los datos del archivo mediante AWS KMS. La comprobación falla en los siguientes casos.
+ `Encrypted` se establece en `false` en la respuesta de [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html).
+ La clave `KmsKeyId` de la respuesta de [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) no coincide con el parámetro `KmsKeyId` de [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html).

Tenga en cuenta que este control no utiliza el parámetro `KmsKeyId` para [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html). Solo comprueba el valor de `Encrypted`.

Para añadir un nivel de seguridad a sus datos confidenciales en Amazon EFS, debe crear sistemas de archivos cifrados. Amazon EFS admite el cifrado de sistemas de archivos en reposo. Puede habilitar el cifrado de datos en reposo cuando cree un sistema de archivos de Amazon EFS. Para obtener más información acerca del cifrado de Amazon EFS, consulte [Cifrado de datos en Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) en la *Guía del usuario de Amazon Elastic File System*.

### Corrección
<a name="efs-1-remediation"></a>

Para obtener información detallada sobre cómo cifrar un nuevo sistema de archivos de Amazon EFS, consulte [Cifrado de datos en reposo](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) en la *Guía del usuario de Amazon Elastic File System*.

## [EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
<a name="efs-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-12, NIst.800-53.r5 SI-13 (5)

**Categoría:** Recuperación > Resiliencia > Backup

**Gravedad:** media

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si los sistemas de archivos de Amazon Elastic File System (Amazon EFS) se han agregado a los planes de copia de seguridad en AWS Backup. El control falla si los sistemas de archivos Amazon EFS no están incluidos en los planes de backup. 

La inclusión de los sistemas de archivos EFS en los planes de copia de seguridad le ayuda a proteger sus datos contra la eliminación y la pérdida de datos.

### Corrección
<a name="efs-2-remediation"></a>

Para habilitar las copias de seguridad automáticas para un sistema de archivos Amazon EFS existente, consulte [Introducción 4: Creación de copias de seguridad automáticas de Amazon EFS](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html) en la *Guía para desarrolladores de AWS Backup *.

## [EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
<a name="efs-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-6 (10)

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::EFS::AccessPoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los puntos de acceso de Amazon EFS están configurados para aplicar un directorio raíz. El control falla si el valor `Path` se establece como `/` (el directorio raíz predeterminado del sistema de archivos).

Cuando se aplica un directorio raíz, el cliente NFS que utiliza el punto de acceso utiliza el directorio raíz configurado en el punto de acceso en lugar del directorio raíz del sistema de archivos. La aplicación de un directorio raíz para un punto de acceso ayuda a restringir el acceso a los datos, ya que garantiza que los usuarios del punto de acceso solo puedan acceder a los archivos del subdirectorio especificado.

### Corrección
<a name="efs-3-remediation"></a>

Para obtener instrucciones sobre cómo aplicar un directorio raíz para un punto de acceso de Amazon EFS, consulte [Aplicación de un directorio raíz con un punto de acceso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point) en la *Guía del usuario de Amazon Elastic File System*. 

## [EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
<a name="efs-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::EFS::AccessPoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los puntos de acceso de Amazon EFS están configurados para imponer la identidad de un usuario. Este control falla si no se define una identidad de usuario POSIX al crear el punto de acceso EFS.

Los puntos de accesode Amazon EFS son puntos de entrada específicos que la aplicación utiliza para acceder a un sistema de archivos de EFS y que facilitan la administración del acceso de las aplicaciones a conjuntos de datos compartidos. Los puntos de acceso pueden imponer una identidad de usuario, incluidos los grupos POSIX del usuario, para todas las solicitudes del sistema de archivos que se realizan a través del punto de acceso. Los puntos de acceso también pueden imponer un directorio raíz diferente para el sistema de archivos, de modo que los clientes solo puedan acceder a los datos del directorio especificado o de sus subdirectorios.

### Corrección
<a name="efs-4-remediation"></a>

Para hacer cumplir la identidad de un usuario para un punto de acceso de Amazon EFS, consulte [Imponer una identidad de usuario mediante un punto de acceso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points) en la *Guía del usuario de Amazon Elastic File System*. 

## [EFS.5] Los puntos de acceso de EFS deben etiquetarse
<a name="efs-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EFS::AccessPoint`

**AWS Config regla:** `tagged-efs-accesspoint` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un punto de acceso de Amazon EFS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza error si el punto de acceso no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el punto de acceso no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="efs-5-remediation"></a>

Para agregar etiquetas a un punto de acceso de EFS, consulte [Tagging Amazon EFS resources](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html) en la *Guía del usuario de Amazon Elastic File System*.

## [EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento
<a name="efs-6"></a>

**Categoría:** Proteger > Seguridad de red > Recursos no accesibles públicamente

**Gravedad:** media

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Esta comprobación verifica si un destino de montaje de Amazon EFS está asociado a subredes que asignan direcciones IP públicas durante el lanzamiento. El control falla si el destino de montaje está asociado a subredes que asignan direcciones IP públicas durante el lanzamiento.

Las subredes tienen atributos que determinan si las interfaces de red reciben automáticamente direcciones y direcciones públicas IPv4 . IPv6 Para IPv4, este atributo está configurado como `TRUE` para las subredes predeterminadas y `FALSE` para las subredes no predeterminadas (con la excepción de las subredes no predeterminadas creadas mediante el asistente de lanzamiento de instancias de EC2, donde está configurado en). `TRUE` Para IPv6, este atributo se establece en para todas las subredes de forma predeterminada`FALSE`. Cuando estos atributos están habilitados, las instancias lanzadas en la subred reciben automáticamente las direcciones IP (IPv4 o IPv6) correspondientes en su interfaz de red principal. Los destinos de montaje de Amazon EFS que se lanzan en subredes que tienen habilitado este atributo reciben una dirección IP pública asignada a su interfaz de red principal durante el lanzamiento.

### Corrección
<a name="efs-6-remediation"></a>

Para asociar un destino de montaje existente a una subred diferente, debe crear un nuevo destino de montaje en una subred que no asigne direcciones IP públicas en el lanzamiento y luego eliminar el destino de montaje anterior. Para obtener información acerca de la administración de destinos de montaje, consulte [Creación y administración de destinos de montaje y grupos de seguridad](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) en la *Guía del usuario de Amazon Elastic File System*. 

## [EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas
<a name="efs-7"></a>

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Gravedad:** media

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un sistema de archivos de Amazon EFS tiene habilitadas las copias de seguridad automáticas. Este control lanza error si el sistema de archivos de EFS no tiene habilitadas las copias de seguridad automáticas.

Una copia de seguridad de datos es una copia de los datos del sistema, la configuración o la aplicación que se almacena por separado del original. La habilitación de copias de seguridad periódicas ayuda a proteger los datos valiosos frente a eventos imprevistos, como errores del sistema, ciberataques o eliminaciones accidentales. Contar con una estrategia de copia de seguridad sólida también permite una recuperación más rápida, una continuidad empresarial y brinda tranquilidad frente a una posible pérdida de datos.

### Corrección
<a name="efs-7-remediation"></a>

Para obtener información sobre el uso AWS Backup de los sistemas de archivos EFS, consulte [Hacer copias de seguridad de los sistemas de archivos EFS](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) en la *Guía del usuario de Amazon Elastic File System*.

## [EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
<a name="efs-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.3.1

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::EFS::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un sistema de archivos Amazon EFS cifra los datos con AWS Key Management Service (AWS KMS). El control lanza error si un sistema de archivos no está cifrado.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="efs-8-remediation"></a>

Para habilitar el cifrado en reposo para un sistema de archivos de EFS nuevo, consulte [Cifrado de datos en reposo](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) en la *Guía del usuario de Amazon Elastic File System*.

# Controles CSPM de Security Hub para Amazon EKS
<a name="eks-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Elastic Kubernetes Service (Amazon EKS). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público
<a name="eks-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::EKS::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un punto de conexión de un clúster de Amazon EKS es de acceso público. El control falla si un clúster de EKS tiene un punto de conexión al que se puede acceder públicamente.

Cuando crea un clúster nuevo, Amazon EKS genera un punto de conexión para el servidor de la API de Kubernetes administrado que utiliza a fin de comunicarse con su clúster. De forma predeterminada, este punto de conexión del servidor API está disponible públicamente en Internet. El acceso al servidor API está protegido mediante una combinación de AWS Identity and Access Management (IAM) y el control de acceso basado en roles (RBAC) nativo de Kubernetes. Al eliminar el acceso público al punto de conexión, puede evitar la exposición y el acceso involuntarios a su clúster.

### Corrección
<a name="eks-1-remediation"></a>

Para modificar el acceso a los puntos de conexión de un clúster de EKS existente, consulte [Modificación del acceso a los puntos de conexión de un clúster](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) en la **Guía del usuario de Amazon EKS**. Puede configurar el acceso a los puntos de conexión para un nuevo clúster de EKS al crearlo. Para obtener instrucciones sobre cómo crear un nuevo clúster de Amazon EKS, consulte [Creación de un clúster de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html) en la **Guía del usuario de Amazon EKS**. 

## [EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
<a name="eks-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 SI-2, NiSt.800-53.r5 SI-2 (2), NiSt.800-53.r5 SI-2 (4), NiSt.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** alta

**Tipo de recurso:** `AWS::EKS::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `oldestVersionSupported`: `1.33` (no personalizable)

Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. El control lanza un error si el clúster de EKS se ejecuta en una versión no compatible.

Si su aplicación no requiere una versión específica de Kubernetes, recomendamos que use la versión más reciente de Kubernetes disponible admitida por EKS para sus clústeres. Para obtener más información, consulte [Calendario de versiones de Amazon EKS Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar) y [Comprensión del ciclo de vida de versiones de Kubernetes en Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation) en la **Guía del usuario de Amazon EKS**.

### Corrección
<a name="eks-2-remediation"></a>

Para actualizar un clúster de EKS, consulte [Actualización de un clúster existente a una nueva versión de Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html) en la **Guía del usuario de Amazon EKS**. 

## [EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
<a name="eks-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-1 2 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, PCI DSS v4.0.1/8.3.2

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::EKS::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon EKS utiliza secretos de Kubernetes cifrados. El control lanza un error si los secretos de Kubernetes del clúster no están cifrados.

Al cifrar los secretos, puede utilizar las claves AWS Key Management Service (AWS KMS) para cifrar en sobres los secretos de Kubernetes almacenados en etcd para su clúster. Este cifrado se suma al cifrado de volúmenes de EBS, que está habilitado de forma predeterminada para todos los datos (incluidos los secretos) que se almacenan en etcd como parte de un clúster de EKS. El uso del cifrado de secretos para su clúster de EKS le permite implementar una estrategia de defensa exhaustiva para las aplicaciones de Kubernetes mediante el cifrado de los secretos de Kubernetes con una clave de KMS que usted defina y administre.

### Corrección
<a name="eks-3-remediation"></a>

Para habilitar el cifrado de secretos en un clúster de EKS, consulte [Habilitar el cifrado de secretos en un clúster existente](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) en la **Guía del usuario de Amazon EKS**. 

## [EKS.6] Los clústeres de EKS deben etiquetarse
<a name="eks-6"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EKS::Cluster`

**AWS Config regla:** `tagged-eks-cluster` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un clúster de Amazon EKS tiene etiquetas con claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el clúster no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="eks-6-remediation"></a>

Para agregar etiquetas a un clúster de EKS, consulte [Etiquetado de los recursos de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) en la **Guía del usuario de Amazon EKS**.

## [EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
<a name="eks-7"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::EKS::IdentityProviderConfig`

**AWS Config regla:** `tagged-eks-identityproviderconfig` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una configuración de los proveedores de identidad de Amazon EKS tiene etiquetas con claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la configuración no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la configuración no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="eks-7-remediation"></a>

Para agregar etiquetas a las configuraciones de los proveedores de identidad de EKS, consulte [Etiquetado de los recursos de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) en la **Guía del usuario de Amazon EKS**.

## [EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
<a name="eks-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NiSt.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NiSt.800-53.r5 SI-4, NiSt.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::EKS::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `logTypes: audit` (no personalizable)

Este control comprueba si un clúster de Amazon EKS tiene habilitado el registro de auditoría. Se produce un error en el control si el registro de auditoría no está habilitado para el clúster.

**nota**  
Este control no comprueba si el registro de auditoría de Amazon EKS está habilitado a través de Amazon Security Lake para la Cuenta de AWS.

El registro del plano de control de EKS proporciona registros de auditoría y diagnóstico directamente desde el plano de control de EKS a Amazon CloudWatch Logs de su cuenta. Puede seleccionar los tipos de registro que necesita y los registros se envían como flujos de registros a un grupo por cada clúster de EKS en el que se encuentre CloudWatch. El registro proporciona visibilidad del acceso y el rendimiento de los clústeres de EKS. Al enviar los registros del plano de control de EKS para sus clústeres de EKS a CloudWatch Logs, puede registrar las operaciones con fines de auditoría y diagnóstico en una ubicación central.

### Corrección
<a name="eks-8-remediation"></a>

Para habilitar los registros de auditoría para el clúster de EKS, consulte [Habilitación y deshabilitación de registros de plano de control](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export) en la **Guía del usuario de Amazon EKS**. 

# Controles CSPM de Security Hub para ElastiCache
<a name="elasticache-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el ElastiCache servicio y los recursos de Amazon. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas
<a name="elasticache-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), niST.800-53.r5 SI-12, niST.800-53.r5 SI-13 (5)

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Gravedad:** alta

**Tipo de recurso:** `AWS::ElastiCache::CacheCluster`, `AWS:ElastiCache:ReplicationGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `snapshotRetentionPeriod`  |  Periodo mínimo de retención de instantáneas en días  |  Entero  |  De `1` a `35`  |  `1`  | 

Este control evalúa si un clúster de Amazon ElastiCache (Redis OSS) tiene habilitadas las copias de seguridad automáticas. El control falla si el `SnapshotRetentionLimit` para el clúster de Redis OSS es inferior al periodo de tiempo especificado. A menos que proporciones un valor de parámetro personalizado para el período de retención de instantáneas, Security Hub CSPM utiliza un valor predeterminado de 1 día.

ElastiCache (Redis OSS) los clústeres pueden hacer copias de seguridad de sus datos. Puede utilizar la característica de copia de seguridad para restaurar un clúster o para propagar datos en un nuevo clúster. La copia de seguridad consiste en los metadatos del clúster, junto con todos los datos del clúster. Todas las copias de seguridad se escriben en Amazon S3, que proporciona un almacenamiento duradero. Puede restaurar los datos creando un nuevo ElastiCache clúster y rellenándolo con los datos de una copia de seguridad. Puede gestionar las copias de seguridad mediante la Consola de administración de AWS AWS CLI, la y la ElastiCache API.

**nota**  
Este control también evalúa los grupos de ElastiCache replicación (Redis OSS y Valkey).

### Corrección
<a name="elasticache-1-remediation"></a>

Para obtener información sobre la programación de copias de seguridad automáticas para un ElastiCache clúster, consulte [Programar copias de seguridad automáticas](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html) en la *Guía del ElastiCache usuario de Amazon*.

## [ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias
<a name="elasticache-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5) PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** alta

**Tipo de recurso:** `AWS::ElastiCache::CacheCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control evalúa si Amazon aplica ElastiCache automáticamente las actualizaciones de versiones menores a un clúster de caché. El control falla si el clúster de caché no tiene habilitadas las actualizaciones automáticas de versiones secundarias.

**nota**  
Este control no se aplica a los clústeres de ElastiCache Memcached.

La actualización automática de versiones secundarias es una función que puedes activar en Amazon ElastiCache para actualizar automáticamente tus clústeres de caché cuando haya disponible una nueva versión del motor de caché secundaria. Estas actualizaciones pueden incluir parches de seguridad y correcciones de errores. Seguir up-to-date con la instalación de los parches es un paso importante para proteger los sistemas.

### Corrección
<a name="elasticache-2-remediation"></a>

Para aplicar automáticamente actualizaciones de versiones menores a un clúster de ElastiCache caché existente, consulte [Gestión de versiones ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html) en la *Guía del ElastiCache usuario de Amazon*.

## [ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática
<a name="elasticache-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un grupo de réplicas tiene habilitada la conmutación por error automática. ElastiCache El control falla si la conmutación por error automática no está habilitada para un grupo de replicación.

Cuando se habilita la conmutación por error automática para un grupo de replicación, la característica del nodo principal tendrá una conmutación por error automática en una de las réplicas de lectura. Esta conmutación por error y promoción de réplica garantizan que pueda reanudar la escritura en la réplica principal tan pronto como se complete la promoción, lo cual reduce el tiempo de inactividad general en caso de falla.

### Corrección
<a name="elasticache-3-remediation"></a>

Para habilitar la conmutación por error automática para un grupo de ElastiCache replicación existente, consulte [Modificación de un ElastiCache clúster](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON) en la *Guía del ElastiCache usuario de Amazon*. Si utiliza la ElastiCache consola, active la **conmutación por error automática**.

## [ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
<a name="elasticache-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un grupo de ElastiCache replicación está cifrado en reposo. El control falla si el grupo de replicación no está cifrado en reposo.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. ElastiCache Los grupos de replicación (Redis OSS) deben cifrarse en reposo para ofrecer un nivel de seguridad adicional.

### Corrección
<a name="elasticache-4-remediation"></a>

Para configurar el cifrado en reposo en un grupo de ElastiCache replicación, consulte [Habilitar el cifrado en reposo](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable) en la Guía * ElastiCache del usuario de Amazon*.

## [ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
<a name="elasticache-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un grupo de ElastiCache replicación está cifrado en tránsito. El control falla si el grupo de replicación no está cifrado en tránsito.

El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red. Al habilitar el cifrado en tránsito en un grupo de ElastiCache replicación, se cifran los datos siempre que se mueven de un lugar a otro, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación.

### Corrección
<a name="elasticache-5-remediation"></a>

Para configurar el cifrado en tránsito en un grupo de ElastiCache replicación, consulte [Habilitar el cifrado en tránsito](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html) en la Guía * ElastiCache del usuario de Amazon*.

## [ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS
<a name="elasticache-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 (7), PCI DSS v4.0.1/8.3.1 NIST.800-53.r5 AC-6

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::ElastiCache::ReplicationGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un grupo de replicación ElastiCache (Redis OSS) tiene habilitada la autenticación de Redis OSS. Se produce un error en el control si la versión de Redis OSS de los nodos del grupo de replicación es inferior a la 6.0 y `AuthToken` no está en uso.

Cuando utiliza los tokens de autenticación o contraseñas de Redis, Redis solicita una contraseña antes de permitir que los clientes ejecuten comandos, lo cual mejora la seguridad de los datos. Para Redis 6.0 y versiones posteriores, se recomienda utilizar el control de acceso basado en roles (RBAC). Como el RBAC no es compatible con las versiones de Redis anteriores a la 6.0, este control solo evalúa las versiones que no pueden usar la característica RBAC.

### Corrección
<a name="elasticache-6-remediation"></a>

*Para usar Redis AUTH en un grupo de replicación ElastiCache (Redis OSS), consulte [Modificación del token AUTH en un clúster existente ElastiCache (Redis OSS) en](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token) la Guía del usuario de Amazon. ElastiCache *

## [ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
<a name="elasticache-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta

**Tipo de recurso:** `AWS::ElastiCache::CacheCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un ElastiCache clúster está configurado con un grupo de subredes personalizado. El control falla si `CacheSubnetGroupName` un ElastiCache clúster tiene el valor`default`.

Al lanzar un ElastiCache clúster, se crea un grupo de subredes predeterminado si aún no existe ninguno. El grupo predeterminado utiliza subredes de la nube privada virtual (VPC) predeterminada. Recomendamos usar grupos de subredes personalizados que restrinjan más las subredes en las que reside el clúster y las redes que el clúster hereda de las subredes.

### Corrección
<a name="elasticache-7-remediation"></a>

Para crear un nuevo grupo de subredes para un ElastiCache clúster, consulte [Creación de un grupo de subredes](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html) en la Guía del * ElastiCache usuario de Amazon*.

# Controles CSPM de Security Hub para Elastic Beanstalk
<a name="elasticbeanstalk-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Elastic Beanstalk servicio y los recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados
<a name="elasticbeanstalk-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-2

**Categoría**: Detectar > Servicios de detección > Supervisión de aplicaciones

**Gravedad:** baja

**Tipo de recurso:** `AWS::ElasticBeanstalk::Environment`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los informes de estado mejorados están habilitados para sus entornos AWS Elastic Beanstalk .

Los informes de estado mejorados de Elastic Beanstalk permiten una respuesta más rápida a los cambios en el estado de la infraestructura subyacente. Estos cambios podrían provocar una falta de disponibilidad de la aplicación.

Los informes de estado mejorados de Elastic Beanstalk proporcionan un descriptor de estado para evaluar la gravedad de los problemas detectados e identificar las posibles causas que se deben investigar. El agente de estado de Elastic Beanstalk, incluido en Amazon Machine AMIs Images () compatible, evalúa los registros y las métricas de las instancias del entorno. EC2

Para obtener información adicional, consulte la [Supervisión y los informes de estado mejorados](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html) en la *Guía para desarrolladores de AWS Elastic Beanstalk *.

### Corrección
<a name="elasticbeanstalk-1-remediation"></a>

Para obtener instrucciones sobre cómo habilitar los informes de estado mejorados, consulte [Habilitar los informes de estado mejorados mediante la consola de Elastic Beanstalk](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console) en la *Guía para desarrolladores de AWS Elastic Beanstalk *.

## [ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas
<a name="elasticbeanstalk-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2,NIST.800-53.r5 SI-2(2),NIST.800-53.r5 SI-2(4),NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** alta

**Tipo de recurso:** `AWS::ElasticBeanstalk::Environment`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `UpdateLevel`  |  Nivel de actualización de la versión  |  Enum  |  `minor`, `patch`  |  Sin valor predeterminado  | 

Este control comprueba si las actualizaciones de la plataforma administradas están habilitadas para un entorno de Elastic Beanstalk. Se produce un error en el control si no están habilitadas las actualizaciones de la plataforma administradas. De manera predeterminada, el control pasa si algún tipo de actualización de la plataforma está habilitado. De manera opcional, puede proporcionar un valor personalizado de parámetro para requerir un nivel de actualización específico.

Al habilitar las actualizaciones de plataforma administradas, se garantiza que se instalen las últimas correcciones, actualizaciones y funciones de la plataforma disponibles para el entorno. Mantenerse al día con la instalación de los parches es un paso importante para proteger los sistemas.

### Corrección
<a name="elasticbeanstalk-2-remediation"></a>

Para habilitar las actualizaciones de la plataforma administradas, consulte [Configuración de las actualizaciones de la plataforma administradas en la sección Actualizaciones de la plataforma administradas](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html) de la *Guía para desarrolladores de AWS Elastic Beanstalk *.

## [ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
<a name="elasticbeanstalk-3"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** alta

**Tipo de recurso:** `AWS::ElasticBeanstalk::Environment`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `RetentionInDays`  |  Cantidad de días que se van a conservar los eventos de registro antes de que expiren  |  Enum  |  `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653`   |  Sin valor predeterminado  | 

Este control comprueba si un entorno de Elastic Beanstalk está configurado para enviar registros a Logs. CloudWatch El control falla si el entorno de Elastic Beanstalk no está configurado para enviar registros a Logs. CloudWatch De manera opcional, puede proporcionar un valor personalizado para el parámetro `RetentionInDays` si quiere que el control pase únicamente si los registros se retienen durante la cantidad de días especificada antes de que expiren.

CloudWatch le ayuda a recopilar y monitorear diversas métricas para sus aplicaciones y recursos de infraestructura. También se puede utilizar CloudWatch para configurar acciones de alarma en función de métricas específicas. Recomendamos integrar Elastic CloudWatch Beanstalk con para obtener una mayor visibilidad del entorno de Elastic Beanstalk. Los registros de Elastic Beanstalk incluyen el archivo eb-activity.log, los registros de acceso del entorno nginx o el servidor proxy Apache y los registros específicos de un entorno.

### Corrección
<a name="elasticbeanstalk-3-remediation"></a>

*Para integrar Elastic CloudWatch Beanstalk con Logs[, consulte Transmitir registros de instancias a Logs en la Guía para CloudWatch desarrolladores](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming).AWS Elastic Beanstalk *

# Controles CSPM de Security Hub para Elastic Load Balancing
<a name="elb-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Elastic Load Balancing. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS
<a name="elb-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3) NIST.800-53.r5 AC-4, 3, 3 NIST.800-53.r5 IA-5 (3), (4), NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**Categoría:** Detectar - Servicios de detección

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) 

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el redireccionamiento de HTTP a HTTPS está configurado en todos los oyentes HTTP de los equilibradores de carga de aplicación. El control falla si alguno de los detectores HTTP de los equilibradores de carga de aplicaciones no tiene configurada la redirección de HTTP a HTTPS.

Antes de comenzar a utilizar el equilibrador de carga de aplicación, debe agregar al menos uno o más oyentes. Un agente de escucha es un proceso que utiliza el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los oyentes admiten los protocolos HTTP y HTTPS. Puede utilizar un oyente HTTPS para descargar el trabajo de cifrado y descifrado a su equilibrador de carga. Para forzar el cifrado en tránsito, debe usar acciones de redireccionamiento con los equilibradores de carga de aplicación para redirigir las solicitudes HTTP del cliente hacia una solicitud HTTPS en el puerto 443.

Para obtener más información, consulte [Creación de un agente de escucha para el Equilibrador de carga de aplicación](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html) en la *Guía del usuario de Equilibrador de carga de aplicacións*.

### Corrección
<a name="elb-1-remediation"></a>

Para redirigir las solicitudes HTTP a HTTPS, debe agregar una regla de escucha de Equilibrador de carga de aplicación o editar una regla existente.

Para obtener instrucciones sobre cómo agregar una nueva regla, consulte [Agregar una regla](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule) en la *Guía del usuario de los equilibradores de carga de aplicaciones*. En **Protocolo : Puerto**, elija **HTTP** y luego ingrese **80**. En **Añadir acción, Redirigir a**, elija **HTTPS** y, a continuación, introduzca **443**.

Para obtener instrucciones sobre cómo editar una regla existente, consulte [Editar una regla](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule) en la *Guía del usuario de los equilibradores de carga de aplicaciones*. En **Protocolo : Puerto**, elija **HTTP** y luego ingrese **80**. En **Añadir acción, Redirigir a**, elija **HTTPS** y, a continuación, introduzca **443**.

## [ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager
<a name="elb-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (5), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIst.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIst.800-171.r2 3.13.8

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el Classic Load Balancer utiliza HTTPS/SSL los certificados proporcionados por AWS Certificate Manager (ACM). El control falla si el Classic Load Balancer configurado con el HTTPS/SSL listener no utiliza un certificado proporcionado por ACM.

Para crear un certificado, puede utilizar ACM o una herramienta que admita los protocolos SSL y TLS, como OpenSSL. Security Hub CSPM recomienda usar ACM para crear o importar certificados para el balanceador de carga.

ACM se integra con Equilibrador de carga clásico, lo que le permite implementar el certificado en el equilibrador de carga. También debe renovar estos certificados automáticamente.

### Corrección
<a name="elb-2-remediation"></a>

Para obtener información sobre cómo asociar un SSL/TLS certificado ACM a un Classic Load Balancer, consulte AWS el [artículo del Knowledge Center ¿Cómo puedo asociar un certificado SSL/TLS ACM a un Classic, Application o Network Load Balancer](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/)?

## [ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS
<a name="elb-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NiSt.800-53.r5 SI-7 (6), NIst.800-171.r2 3.13.8, NIst.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los agentes de escucha de Equilibrador de carga clásico están configurados con el protocolo HTTPS o TLS para las conexiones frontend (entre el cliente y el equilibrador de carga). El control se aplica si un Equilibrador de carga clásico tiene oyentes. Si su Equilibrador de carga clásico no tiene un listener configurado, el control no informa de ningún resultado.

El control pasa si los oyentes de Equilibrador de carga clásico están configurados con TLS o HTTPS para las conexiones front-end.

El control falla si el listener no está configurado con TLS o HTTPS para las conexiones front-end.

Antes de comenzar a utilizar un equilibrador de carga, debe agregar uno o más oyentes. Un agente de escucha es un proceso que utiliza el protocolo y el puerto configurados para comprobar las solicitudes de conexión. Los oyentes pueden admitir tanto HTTP como HTTPS/TLS protocolos. Siempre debe usar un agente de escucha HTTPS o TLS para que el equilibrador de cargas se encargue de cifrar y desencriptar en tránsito.

### Corrección
<a name="elb-3-remediation"></a>

Para solucionar este problema, actualiza tus oyentes para que usen el protocolo TLS o HTTPS.

**Para cambiar todos los oyentes no compatibles por oyentes TLS/HTTPS**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, en **Equilibración de carga**, elija **equilibradores de carga**.

1. Etiquetado del equilibrador de carga clásico

1. En la pestaña **Listeners** (Agentes de escucha), seleccione **Edit** (Editar).

1. Para todos los oyentes en los que el Protocolo **Equilibrador de carga** no esté configurado en HTTPS o SSL, cambie la configuración a HTTPS o SSL.

1. Para todos los oyentes modificados, en la pestaña **Certificados**, seleccione **Cambiar el valor predeterminado**.

1. Para los **certificados ACM e IAM**, seleccione un certificado.

1. Seleccione **Guardar como predeterminado**.

1. Tras actualizar todos los oyentes, selecciona **Guardar**.

## [ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos
<a name="elb-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/6.2.4

**Categoría**: Proteger > Seguridad de red

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control evalúa si un equilibrador de carga de aplicación está configurado para eliminar los encabezados HTTP no válidos. El control falla si el valor `routing.http.drop_invalid_header_fields.enabled` se establece como `false`.

De forma predeterminada, los equilibradores de carga de aplicaciones no están configurados para eliminar valores de encabezado HTTP no válidos. La eliminación de estos valores de encabezado evita los ataques de desincronización de HTTP.

**nota**  
Recomendamos deshabilitar este control si ELB.12 está habilitado en su cuenta. Para obtener más información, consulte [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](#elb-12).

### Corrección
<a name="elb-4-remediation"></a>

Para solucionar este problema, configura tu equilibrador de cargas para eliminar los campos de encabezado no válidos.

**Cómo configurar el equilibrador de carga para eliminar campos de encabezado no válidos**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, elija **Load balancers (Balanceadores de carga)**.

1. Eliminación de un Equilibrador de carga de aplicación

1. Para **Acciones**, elija **Editar atributos**.

1. En **Eliminar campos de encabezado no válidos**, selecciona **Activar**.

1. Seleccione **Save**.

## [ELB.5] El registro de las aplicaciones y de los equilibradores de carga clásicos debe estar habilitado
<a name="elb-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.r5 NIST.800-53.r5 SC-7 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el Equilibrador de carga de aplicación y el Equilibrador de carga clásico tienen el registro activado. El control tiene errores si `access_logs.s3.enabled` es `false`.

Elastic Load Balancing proporciona registros de acceso que capturan información detallada sobre las solicitudes enviadas al equilibrador de carga. Cada registro contiene distintos datos, como el momento en que se recibió la solicitud, la dirección IP del cliente, las latencias, las rutas de solicitud y las respuestas del servidor. Puede utilizar estos registros de acceso para analizar los patrones de tráfico y solucionar problemas. 

Para obtener más información, consulte [Etiquetado del Equilibrador de carga clásico](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) en la *Guía del usuario de Equilibrador de carga clásicos*.

### Corrección
<a name="elb-5-remediation"></a>

Para habilitar los registros de acceso, consulte el [Paso 3: Configurar los registros de acceso](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs) en la *Guía del usuario de los equilibradores de carga de aplicaciones*.

## [ELB.6] La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada
<a name="elb-6"></a>

**Requisitos relacionados**: (1), (2) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el equilibrador de carga de red, de puerta de enlace o de aplicación tiene habilitada la protección contra eliminación. El control falla si la protección contra la eliminación está deshabilitada.

Habilite la protección contra eliminación para evitar que el equilibrador de carga de red, de puerta de enlace o de aplicación se elimine.

### Corrección
<a name="elb-6-remediation"></a>

Para evitar que el equilibrador de carga se elimine por error, puede habilitar la protección contra eliminación. De forma predeterminada, la protección contra eliminación del equilibrador de carga está deshabilitada.

Si habilita la protección contra eliminación del equilibrador de carga, deberá deshabilitarla para poder eliminarlo.

Para habilitar la protección contra la eliminación de un equilibrador de carga de aplicación, consulte la sección [Protección contra la eliminación](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection) en la *Guía del usuario de los equilibradores de carga de aplicaciones*. Para habilitar la protección contra la eliminación de un equilibrador de carga de puerta de enlace, consulte la sección [Protección contra la eliminación](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection) en la *Guía del usuario de los equilibradores de carga de puerta de enlace*. Para habilitar la protección contra la eliminación de un equilibrador de carga de red, consulte la sección [Protección contra la eliminación](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection) en la *Guía del usuario de los equilibradores de carga de red*.

## [ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones
<a name="elb-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NiST.800-53.r5 CM-2

**Categoría:** Recuperación > Resiliencia

**Gravedad:** baja

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config regla:** `elb-connection-draining-enabled` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los equilibradores de carga clásicos tienen habilitado el drenaje de conexión.

Al habilitar el drenaje de conexiones en los Equilibradores de carga clásicos se garantiza que el equilibrador de carga deje de enviar solicitudes a instancias que están en proceso de anulación del registro o se encuentran en mal estado. Mantiene abiertas las conexiones existentes. Esto es particularmente útil para instancias en grupos de escalado automático, para garantizar que las conexiones no se interrumpan abruptamente.

### Corrección
<a name="elb-7-remediation"></a>

Para habilitar el drenaje de conexión en Equilibrador de carga clásico, consulte [Configuración del drenaje de conexión para el Equilibrador de carga clásico](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html) en la *Guía del usuario de Equilibrador de carga clásico*.

## [ELB.8] Los balanceadores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config
<a name="elb-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NiSt.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIst.800-171.r2 3.13.8, NIst.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `predefinedPolicyName`: `ELBSecurityPolicy-TLS-1-2-2017-01` (no personalizable)

Este control comprueba si los HTTPS/SSL oyentes de Classic Load Balancer utilizan la política predefinida. `ELBSecurityPolicy-TLS-1-2-2017-01` El control falla si los HTTPS/SSL oyentes de Classic Load Balancer no lo utilizan. `ELBSecurityPolicy-TLS-1-2-2017-01`

Una política de seguridad es una combinación de protocolos SSL, cifrados y la opción de preferencia del orden del servidor. Las políticas predefinidas controlan los cifrados, los protocolos y los órdenes de preferencia que se deben admitir durante las negociaciones SSL entre un cliente y un equilibrador de carga.

Usar `ELBSecurityPolicy-TLS-1-2-2017-01` puede ayudarlo a cumplir con los estándares de cumplimiento y seguridad que requieren que deshabilite versiones específicas de SSL y TLS. Para obtener más información, consulte [Agentes de escucha para el Equilibrador de carga clásico](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html) en la *Guía del usuario de Equilibrador de carga clásicos*.

### Corrección
<a name="elb-8-remediation"></a>

Para obtener información sobre cómo utilizar la política de seguridad predefinida de `ELBSecurityPolicy-TLS-1-2-2017-01` con un Equilibrador de carga clásico, consulte [Configurar los ajustes de seguridad](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth) en la *Guía del usuario de Equilibrador de carga clásicos*.

## [ELB.9] Los equilibradores de carga clásicos deberían tener habilitado el equilibrio de carga entre zonas
<a name="elb-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el equilibrio de carga entre zonas está habilitado para los balanceadores de carga clásicos (). CLBs El control falla si el equilibrio de carga entre zonas no está habilitado para un CLB.

Cada nodo del equilibrador de carga distribuye el tráfico entre los destinos registrados en su zona de disponibilidad solamente. Cuando el equilibrio de carga entre zonas está deshabilitado, cada nodo del equilibrador de carga distribuye el tráfico únicamente entre los destinos registrados de su zona de disponibilidad. Si el número de destinos registrados no es el mismo en todas las zonas de disponibilidad, el tráfico no se distribuirá de manera uniforme y las instancias de una zona podrían terminar sobreutilizadas en comparación con las instancias de otra zona. Con cross-zone load balancing, cada nodo del equilibrador de carga de su equilibrador de carga clásico distribuye las solicitudes equitativamente entre todas las instancias registradas en todas las zonas de disponibilidad habilitadas. Para obtener más información, [consulte Equilibrio de carga entre zonas](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing) en la Guía del usuario de Elastic Load Balancing.

### Corrección
<a name="elb-9-remediation"></a>

Para habilitar el balanceo de cargas entre zonas en un Equilibrador de carga clásico, consulta [Habilitar el balanceo de cargas entre zonas](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone) en la *Guía del usuario de Equilibrador de carga clásicos*.

## [ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
<a name="elb-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NiST.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Cantidad mínima de zonas de disponibilidad  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Este control comprueba si un Classic Load Balancer se ha configurado para abarcar al menos el número especificado de zonas de disponibilidad ()AZs. El control falla si el Classic Load Balancer no abarca al menos el número especificado de. AZs A menos que proporcione un valor de parámetro personalizado para el número mínimo de AZs, el CSPM de Security Hub utiliza un valor predeterminado de dos. AZs

 Puede configurar el equilibrador de carga clásico para que las solicitudes de entrada se distribuyan entre las instancias de Amazon EC2 de una única zona de disponibilidad o de varias. Un Equilibrador de carga clásico que no abarque varias zonas de disponibilidad no puede redirigir el tráfico a destinos de otra zona de disponibilidad si la única zona de disponibilidad configurada deja de estar disponible. 

### Corrección
<a name="elb-10-remediation"></a>

 Para agregar zonas de disponibilidad a un equilibrador de carga clásico, consulte [Add or remove subnets for your Classic Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html) en la *Guía del usuario para los Equilibradores de carga clásicos*. 

## [ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto
<a name="elb-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/6.2.4

**Categoría:** Protección > Protección de datos > Integridad de los datos

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `desyncMode`: `defensive, strictest` (no personalizable)

Este control comprueba si un Equilibrador de carga de aplicación está configurado con el modo defensivo o con el modo de mitigación de desincronización más estricto. El control falla si un Equilibrador de carga de aplicación no está configurado con el modo defensivo o de mitigación de desincronización más estricto.

Los problemas de desincronización de HTTP pueden provocar el contrabando de solicitudes y hacer que las aplicaciones sean vulnerables al envenenamiento de las colas de solicitudes o de la caché. A su vez, estas vulnerabilidades pueden provocar el uso indebido de credenciales o la ejecución de comandos no autorizados. Los equilibradores de carga de aplicaciones configurados con el modo defensivo o el modo de mitigación de desincronización más estricto protegen tu aplicación de los problemas de seguridad que pueda provocar la desincronización de HTTP. 

### Corrección
<a name="elb-12-remediation"></a>

Para actualizar el modo de mitigación de desincronización de un Equilibrador de carga de aplicación, [consulte el modo de mitigación de desincronización](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode) en la *Guía del usuario de Equilibrador de carga de aplicaciones*. 

## [ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad
<a name="elb-13"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, (2), NiSt.800-53.r5 SI-13 (5) NIST.800-53.r5 SC-5

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad 

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Cantidad mínima de zonas de disponibilidad  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Este control comprueba si un Elastic Load Balancer V2 (balanceador de carga de aplicaciones, redes o puertas de enlace) ha registrado instancias de al menos el número especificado de zonas de disponibilidad (). AZs El control falla si un Elastic Load Balancer V2 no tiene instancias registradas en al menos el número especificado de. AZs A menos que proporcione un valor de parámetro personalizado para el número mínimo de AZs, el CSPM de Security Hub utiliza un valor predeterminado de dos. AZs

Elastic Load Balancing distribuye automáticamente el tráfico entrante entre varios destinos, por ejemplo, instancias EC2, contenedores y direcciones IP en una o varias zonas de disponibilidad. Elastic Load Balancing escala el equilibrador de carga a medida que el tráfico entrante va cambiando con el tiempo. Se recomienda configurar al menos dos zonas de disponibilidad para garantizar la disponibilidad de los servicios, ya que el Elastic Load Balancer podrá dirigir el tráfico a otra zona de disponibilidad si alguna deja de estar disponible. Tener configuradas varias zonas de disponibilidad ayudará a evitar que la aplicación tenga un único punto de error. 

### Corrección
<a name="elb-13-remediation"></a>

Para agregar una zona de disponibilidad a un Equilibrador de carga de aplicación, consulte [Zonas de disponibilidad para el equilibrador de carga de aplicaciones](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html) en la *Guía del usuario para equilibradores de carga de aplicaciones*. Para crear un equilibrador de carga de red, consulte [Introducción a los equilibradores de carga de red](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones) en la *Guía del usuario de los equilibradores de carga de red*. Para añadir una zona de disponibilidad a un equilibrador de carga de puerta de enlace, consulte [Crear un equilibrador de carga de puerta de enlace](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html) en la *Guía del usuario de equilibradores de carga de puerta de enlace*. 

## [ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto
<a name="elb-14"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/6.2.4

**Categoría:** Protección > Protección de datos > Integridad de los datos

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancing::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `desyncMode`: `defensive, strictest` (no personalizable)

Este control comprueba si un Equilibrador de carga clásico está configurado con el modo defensivo o con el modo de mitigación de desincronización más estricto. El control falla si el Equilibrador de carga clásico no está configurado con el modo defensivo o de mitigación de desincronización más estricto.

Los problemas de desincronización de HTTP pueden provocar el contrabando de solicitudes y hacer que las aplicaciones sean vulnerables al envenenamiento de las colas de solicitudes o de la caché. A su vez, estas vulnerabilidades pueden provocar el secuestro de credenciales o la ejecución de comandos no autorizados. Los equilibradores de carga clásicos configurados con el modo defensivo o el modo de mitigación de desincronización más estricto protegen tu aplicación de los problemas de seguridad que pueda provocar la desincronización de HTTP. 

### Corrección
<a name="elb-14-remediation"></a>

Para actualizar el modo de mitigación de desincronización en un Equilibrador de carga clásico, consulte [Modificar el modo de mitigación de desincronización](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode) en la *Guía del usuario de Equilibrador de carga clásico*. 

## [ELB.16] Los AWS WAF balanceadores de carga de aplicaciones deben estar asociados a una ACL web
<a name="elb-16"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21)

**Categoría**: Proteger > Servicios de protección

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un Application Load Balancer está asociado a una lista de control de acceso AWS WAF web (ACL web) AWS WAF clásica o web. El control falla si el `Enabled` campo de la AWS WAF configuración está establecido en. `false`

AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y contra APIs los ataques. Con AWS WAFél, puede configurar una ACL web, que es un conjunto de reglas que permiten, bloquean o cuentan las solicitudes web en función de las reglas y condiciones de seguridad web personalizables que usted defina. Recomendamos asociar el Application Load Balancer a AWS WAF una ACL web para protegerlo de ataques malintencionados.

### Corrección
<a name="elb-16-remediation"></a>

*Para asociar un Application Load Balancer a una ACL web, consulte [Asociar o desasociar una ACL web a un AWS recurso en la Guía](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html) para desarrolladores.AWS WAF * 

## [ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas
<a name="elb-17"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::Listener`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** `sslPolicies`: `ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` (no personalizables)

Este control comprueba si el oyente HTTPS de un equilibrador de carga de aplicación o el oyente TLS de un equilibrador de carga de red están configurados para cifrar los datos en tránsito mediante una política de seguridad recomendada. El control falla si el oyente HTTPS o TLS del equilibrador de carga no está configurado para usar una política de seguridad recomendada.

Elastic Load Balancing usa una configuración de negociación SSL, conocida como una *política de seguridad*, para negociar las conexiones entre un cliente y un equilibrador de carga. La política de seguridad especifica una combinación de protocolos y cifrados. El protocolo establece una conexión segura entre un cliente y un servidor. Un cifrado es un algoritmo de cifrado que usa claves de cifrado para crear un mensaje codificado. Durante el proceso de negociación de conexiones, el cliente y el equilibrador de carga presentan una lista con los cifrados y protocolos que admite cada uno por orden de preferencia. El uso de una política de seguridad recomendada para un equilibrador de carga contribuye a cumplir los estándares de cumplimiento y seguridad.

### Corrección
<a name="elb-17-remediation"></a>

Para obtener información sobre las políticas de seguridad recomendadas y cómo actualizar los oyentes, consulte las siguientes secciones de la *Guía del usuario de Elastic Load Balancing*: [Políticas de seguridad para equilibradores de carga de aplicación](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html), [Políticas de seguridad para equilibradores de carga de red](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html), [Actualización de un oyente HTTPS para un equilibrador de carga de aplicación](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html) y [Actualización de un oyente para un equilibrador de carga de red](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html).

## [ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito
<a name="elb-18"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::Listener`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si el oyente de un equilibrador de carga de aplicación o de un equilibrador de carga de red está configurado para usar un protocolo seguro para cifrar los datos en tránsito. El control falla si el oyente de un equilibrador de carga de aplicación no usa el protocolo HTTPS o si el oyente de un equilibrador de carga de red no usa el protocolo TLS.

Para cifrar los datos transmitidos entre un cliente y un equilibrador de carga, los oyentes de Elastic Load Balancing se deben configurar con protocolos de seguridad estándar del sector: HTTPS para equilibradores de carga de aplicación o TLS para equilibradores de carga de red. De lo contrario, los datos transmitidos entre un cliente y un equilibrador de carga quedan expuestos a interceptación, manipulación y acceso no autorizado. El uso de HTTPS o TLS por parte de un oyente se ajusta a las prácticas recomendadas de seguridad y ayuda a garantizar la confidencialidad e integridad de los datos durante la transmisión. Esto es especialmente importante para aplicaciones que manejan información confidencial o que deben cumplir con estándares de seguridad que requieren cifrado de los datos en tránsito.

### Corrección
<a name="elb-18-remediation"></a>

Para obtener información sobre cómo configurar protocolos de seguridad para los oyentes, consulte las siguientes secciones de la *Guía del usuario de Elastic Load Balancing*: [Creación de un oyente HTTPS para el equilibrador de carga de aplicación](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html) y [Creación de un oyente para el equilibrador de carga de red](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html).

## [ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados
<a name="elb-21"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::TargetGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el grupo objetivo de las comprobaciones de estado del balanceador de carga de aplicaciones y redes utiliza un protocolo de transporte cifrado. El control produce un error si el protocolo de comprobación de estado no utiliza HTTPS. Este control no se aplica a los tipos de objetivos Lambda.

 Los balanceadores de carga envían solicitudes de verificación de estado a los objetivos registrados para determinar su estado y enrutar el tráfico en consecuencia. El protocolo de comprobación de estado especificado en la configuración del grupo objetivo determina cómo se realizan estas comprobaciones. Cuando los protocolos de control de estado utilizan comunicaciones no cifradas, como HTTP, las solicitudes y respuestas se pueden interceptar o manipular durante la transmisión. Esto permite a los atacantes obtener información sobre la configuración de la infraestructura, alterar los resultados de las comprobaciones de estado o llevar a cabo man-in-the-middle ataques que afecten a las decisiones de enrutamiento. El uso de HTTPS para las comprobaciones de estado proporciona una comunicación cifrada entre el balanceador de cargas y sus objetivos, lo que protege la integridad y la confidencialidad de la información sobre el estado de salud.

### Corrección
<a name="elb-21-remediation"></a>

Para configurar comprobaciones de estado cifradas para el grupo objetivo del Application Load Balancer, consulte [Actualizar la configuración de las comprobaciones de estado de un grupo objetivo del Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html) en la Guía del usuario de *Elastic Load Balancing*. Para configurar las comprobaciones de estado cifradas para el grupo objetivo del Network Load Balancer, consulte [Actualizar la configuración de las comprobaciones de estado de un grupo objetivo del Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html) en la Guía del usuario de *Elastic Load Balancing*.

## [ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados
<a name="elb-22"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::ElasticLoadBalancingV2::TargetGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo objetivo de Elastic Load Balancing utiliza un protocolo de transporte cifrado. Este control no se aplica a los grupos objetivo con un tipo objetivo de Lambda o ALB, ni a los grupos objetivo que utilizan el protocolo GENEVE. El control falla si el grupo objetivo no usa los protocolos HTTPS, TLS o QUIC.

 El cifrado de los datos en tránsito los protege de la interceptación por parte de usuarios no autorizados. Los grupos objetivo que utilizan protocolos no cifrados (HTTP, TCP, UDP) transmiten datos sin cifrar, lo que los hace vulnerables a las escuchas clandestinas. El uso de protocolos cifrados (HTTPS, TLS, QUIC) garantiza la protección de los datos transmitidos entre los balanceadores de carga y los objetivos.

### Corrección
<a name="elb-22-remediation"></a>

Para usar un protocolo cifrado, debe crear un nuevo grupo objetivo con el protocolo HTTPS, TLS o QUIC. El protocolo del grupo objetivo no se puede modificar después de su creación. Para crear un grupo objetivo de Application Load Balancer, consulte [Crear un grupo objetivo para su Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html) Balancer en la Guía del usuario de *Elastic Load Balancing*. Para crear un grupo objetivo de Network Load Balancer, consulte [Crear un grupo objetivo para el Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html) Balancer en la Guía del usuario de *Elastic Load Balancing*. 

# Security Hub (CSPM) para Elasticsearch
<a name="es-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Elasticsearch.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
<a name="es-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIst.800-53.r5 NIST.800-53.r5 SC-7 SI-7 (6)

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si los dominios de Elasticsearch tienen habilitada la configuración de cifrado en reposo. La comprobación falla si el cifrado en reposo no está habilitado.

Para aumentar la seguridad de sus datos confidenciales OpenSearch, debe configurarlos OpenSearch para que estén cifrados en reposo. Los dominios Elasticsearch ofrecen cifrado de datos en reposo. La función se utiliza AWS KMS para almacenar y administrar sus claves de cifrado. Para realizar el cifrado, utiliza el algoritmo Estándar de cifrado avanzado con claves de 256 bits (AES-256).

Para obtener más información sobre el OpenSearch cifrado en reposo, consulta [Cifrado de datos en reposo para Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

Algunos tipos de instancias, como `t.small` y `t.medium`, no admiten el cifrado de datos en reposo. Para obtener más información, consulta los [tipos de instancias compatibles](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

### Corrección
<a name="es-1-remediation"></a>

Para habilitar el cifrado en reposo para dominios de Elasticsearch nuevos y existentes, consulta Cómo [habilitar el cifrado de datos en reposo en](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) la Guía para *desarrolladores de Amazon OpenSearch Service*.

## [ES.2] Los dominios de Elasticsearch no deben ser de acceso público
<a name="es-2"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21), NIST.800-53.r5 AC-3, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoría:** Proteger > Configuración de red segura > Recursos dentro de VPC 

**Gravedad:** crítica

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si los dominios de Elasticsearch están en una VPC. No evalúa la configuración de direccionamiento de subred de VPC para determinar el acceso público. Debe asegurarse de que los dominios de Elasticsearch no están asociados a subredes públicas. Consulta [las políticas basadas en recursos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) en la Guía para *desarrolladores de Amazon OpenSearch Service*. También debe asegurarse de que la VPC esté configurada de acuerdo con las prácticas recomendadas. Consulte [Prácticas recomendadas de seguridad para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) en la *Guía del usuario de Amazon VPC*.

Los dominios de Elasticsearch implementados en una VPC pueden comunicarse con los recursos de la VPC a través de la AWS red privada, sin necesidad de atravesar la Internet pública. Esta configuración aumenta la seguridad al limitar el acceso a los datos en tránsito. VPCs proporcionan una serie de controles de red para proteger el acceso a los dominios de Elasticsearch, incluidas las ACL de red y los grupos de seguridad. Security Hub CSPM recomienda migrar los dominios públicos de Elasticsearch VPCs a para aprovechar estos controles.

### Corrección
<a name="es-2-remediation"></a>

Si crea un dominio con un punto de enlace público, no podrá colocarlo posteriormente en una VPC. En lugar de ello, se debe crear un dominio nuevo y migrar los datos. y viceversa. Si crea un dominio dentro de una VPC, no puede tener un punto de enlace público. En su lugar, debe [crear otro dominio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) o deshabilitar este control.

Consulte Cómo [lanzar sus dominios de Amazon OpenSearch Service dentro de una VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) en la Guía para *desarrolladores de Amazon OpenSearch Service*.

## [ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
<a name="es-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-1 3 NIST.800-53.r5 AC-4, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un dominio de Elasticsearch tiene el node-to-node cifrado activado. El control falla si el dominio de Elasticsearch no tiene el cifrado activado. node-to-node El control también produce resultados erróneos si una versión de Elasticsearch no admite las comprobaciones de cifrado. node-to-node 

El HTTPS (TLS) se puede utilizar para evitar que posibles atacantes escuchen o manipulen el tráfico de la red mediante ataques u otros similares. person-in-the-middle Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). Al habilitar el node-to-node cifrado en los dominios de Elasticsearch, se garantiza que las comunicaciones dentro del clúster se cifren durante el tránsito.

Puede haber una penalización en el rendimiento asociada a esta configuración. Debe conocer y probar la compensación de rendimiento antes de activar esta opción. 

### Corrección
<a name="es-3-remediation"></a>

Para obtener información sobre cómo habilitar el node-to-node cifrado en dominios nuevos y existentes, consulta [Habilitar el node-to-node cifrado](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## [ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros
<a name="es-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `logtype = 'error'` (no personalizable)

Este control comprueba si los dominios CloudWatch de Elasticsearch están configurados para enviar registros de errores a Logs.

Debes habilitar los registros de errores para los dominios de Elasticsearch y enviar esos CloudWatch registros a Logs para su retención y respuesta. Los registros de errores de los dominios pueden ayudar con las auditorías de seguridad y acceso, y pueden ayudar a diagnosticar problemas de disponibilidad.

### Corrección
<a name="es-4-remediation"></a>

Para obtener información sobre cómo habilitar la publicación de registros, consulte [Habilitar la publicación de registros (consola)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## [ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría
<a name="es-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 (8), niST.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regla:** `elasticsearch-audit-logging-enabled` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `cloudWatchLogsLogGroupArnList` (no personalizable). El CSPM de Security Hub no rellena este parámetro. Lista de grupos de CloudWatch registros separados por comas que deben configurarse para los registros de auditoría.

  Esta regla se aplica `NON_COMPLIANT` si el grupo de CloudWatch registros de registros del dominio de Elasticsearch no está especificado en esta lista de parámetros.

Este control comprueba si los dominios de Elasticsearch tienen habilitado el registro de auditoría. Este control falla si un dominio de Elasticsearch no tiene habilitado el registro de auditoría. 

Los registros de auditoría son altamente personalizables. Te permiten realizar un seguimiento de la actividad de los usuarios en tus clústeres de Elasticsearch, incluidos los éxitos y los errores de autenticación, las solicitudes, los cambios de indexación y las consultas de búsqueda entrantes. OpenSearch

### Corrección
<a name="es-5-remediation"></a>

Para obtener instrucciones detalladas sobre cómo habilitar los registros de auditoría, consulta [Habilitar los registros de auditoría](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## [ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos
<a name="es-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regla:** `elasticsearch-data-node-fault-tolerance` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los dominios de Elasticsearch están configurados con al menos tres nodos de datos y `zoneAwarenessEnabled` es `true`.

Un dominio de Elasticsearch requiere al menos tres nodos de datos para una alta disponibilidad y tolerancia a errores. La implementación de un dominio de Elasticsearch con al menos tres nodos de datos garantiza las operaciones del clúster en caso de que un nodo falle.

### Corrección
<a name="es-6-remediation"></a>

**Cómo modificar la cantidad de nodos de datos en un dominio de Elasticsearch**

1. Abre la consola OpenSearch de Amazon Service en [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. En **Dominios**, elija el nombre del dominio que desea editar.

1. Elija **Edit domain (Editar dominio)**.

1. En **Nodos de datos**, estableza **Número de nodos** en un número mayor o igual a `3`.

   Para tres implementaciones de zonas de disponibilidad, establézcalo en un múltiplo de tres para garantizar una distribución equitativa entre las zonas de disponibilidad.

1. Seleccione **Enviar**.

## [ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados
<a name="es-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regla:** `elasticsearch-primary-node-fault-tolerance` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los dominios de Elasticsearch están configurados con al menos tres nodos principales dedicados. Este control falla si el dominio no utiliza nodos principales dedicados. Este control pasa si los dominios de Elasticsearch tienen cinco nodos principales dedicados. Sin embargo, el uso de más de tres nodos principales puede ser innecesario para mitigar el riesgo de disponibilidad y generará un costo adicional.

Un dominio de Elasticsearch requiere al menos tres nodos principales dedicados para una alta disponibilidad y tolerancia a los errores. Los recursos del nodo principal dedicado pueden agotarse durante las blue/green implementaciones de los nodos de datos porque hay nodos adicionales que administrar. La implementación de un dominio de Elasticsearch con al menos tres nodos principales dedicados garantiza una capacidad suficiente de recursos del nodo principal y operaciones de clúster en caso de que un nodo falle.

### Corrección
<a name="es-7-remediation"></a>

**Para modificar la cantidad de nodos principales dedicados en un dominio OpenSearch**

1. Abre la consola OpenSearch de Amazon Service en [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. En **Dominios**, elija el nombre del dominio que desea editar.

1. Elija **Edit domain (Editar dominio)**.

1. En **Nodos maestros dedicados**, defina el **tipo de instancia** en el tipo de instancia deseado.

1. Establezca el **Número de nodos maestros** en tres o más.

1. Seleccione **Enviar**.

## [ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente
<a name="es-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regla:** `elasticsearch-https-required` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un punto de conexión del dominio de Elasticsearch está configurado para utilizar la política de seguridad TLS más reciente. El control falla si el punto final del dominio de Elasticsearch no está configurado para usar la última política compatible o si HTTPs no está habilitado. La política de seguridad TLS compatible más reciente es `Policy-Min-TLS-1-2-PFS-2023-10`.

Se puede usar HTTPS (TLS) para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS. TLS 1.2 proporciona varias mejoras de seguridad con respecto a las versiones anteriores de TLS.

### Corrección
<a name="es-8-remediation"></a>

Para habilitar el cifrado TLS, utilice la operación de la API [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) para configurar el objeto [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html). Esto establece la `TLSSecurityPolicy`.

## [ES.9] Los dominios de Elasticsearch deben estar etiquetados
<a name="es-9"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Elasticsearch::Domain`

**AWS Config regla:** `tagged-elasticsearch-domain` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un dominio de Elasticsearch tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el dominio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el dominio no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="es-9-remediation"></a>

Para añadir etiquetas a un dominio de Elasticsearch, consulta Cómo [trabajar con etiquetas](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) en la Guía para *desarrolladores de Amazon OpenSearch Service*.

# Controles CSPM de Security Hub para Amazon EMR
<a name="emr-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon EMR (anteriormente denominado Amazon Elastic MapReduce). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
<a name="emr-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21), (3) NIST.800-53.r5 AC-3, (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta

**Tipo de recurso:** `AWS::EMR::Cluster`

**AWS Config regla: emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si los nodos maestros de los clústeres de Amazon EMR tienen direcciones IP públicas. El control falla si hay direcciones IP públicas asociadas a alguna de las instancias del nodo maestro.

Las direcciones IP públicas se designan en el campo `PublicIp` de la configuración de `NetworkInterfaces` de la instancia. Este control solo comprueba los clústeres de Amazon EMR que se encuentran en un estado `RUNNING` o`WAITING`.

### Corrección
<a name="emr-1-remediation"></a>

Durante el lanzamiento, puedes controlar si a la instancia de una subred predeterminada o no predeterminada se le asigna una dirección pública. IPv4 De forma predeterminada, las subredes predeterminadas tienen este atributo configurado como `true`. Las subredes no predeterminadas tienen el atributo de direccionamiento IPv4 público establecido en`false`, a menos que lo haya creado el asistente de EC2 lanzamiento de instancias de Amazon. En ese caso, el atributo se establece como `true`.

Tras el lanzamiento, no puedes desasociar manualmente una IPv4 dirección pública de tu instancia.

Para corregir un error en la búsqueda, debe lanzar un nuevo clúster en una VPC con una subred privada que tenga IPv4 el atributo de direccionamiento público establecido en. `false` Para obtener instrucciones, consulte [Lanzamiento de clústeres en una VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) en la *Guía de administración de Amazon EMR*.

## [EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
<a name="emr-2"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si su cuenta está configurada con el bloqueo de acceso público de Amazon EMR. Se produce un error en el control si la configuración de bloqueo de acceso público no está habilitada o si se permite cualquier puerto que no sea el 22.

El bloqueo de acceso público de Amazon EMR evita que lance un clúster en una subred pública si el clúster tiene una configuración de seguridad que permite el tráfico entrante desde direcciones IP públicas en un puerto. Cuando un usuario de su Cuenta de AWS lanza un clúster, Amazon EMR comprueba las reglas de puerto del grupo de seguridad del clúster y las compara con las reglas de tráfico entrante. Si el grupo de seguridad tiene una regla de entrada que abre los puertos a las direcciones IP públicas IPv4 0.0.0.0/0 o IPv6 : :/0, y esos puertos no se especifican como excepciones para su cuenta, Amazon EMR no permite que el usuario cree el clúster.

**nota**  
Bloquear el acceso público está habilitado de forma predeterminada. Si desea aumentar la protección de la cuenta, le recomendamos que lo mantenga habilitado.

### Corrección
<a name="emr-2-remediation"></a>

Para configurar el bloqueo de acceso público para Amazon EMR, consulte [Uso de Bloquear el acceso público de Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) en la *Guía de administración de Amazon EMR*.

## [EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
<a name="emr-3"></a>

**Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5** CP-9 (8), NIST.800-53.r5 SI-12

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::EMR::SecurityConfiguration`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si una configuración de seguridad de Amazon EMR tiene habilitado el cifrado en reposo. El control falla si la configuración de seguridad no habilita el cifrado en reposo.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="emr-3-remediation"></a>

Para habilitar el cifrado en reposo en una configuración de seguridad de Amazon EMR, consulte [Configuración del cifrado de datos](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) en la *Guía de administración de Amazon EMR*.

## [EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
<a name="emr-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3)

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::EMR::SecurityConfiguration`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si una configuración de seguridad de Amazon EMR tiene habilitado el cifrado en tránsito. El control falla si la configuración de seguridad no habilita el cifrado en tránsito.

Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.

### Corrección
<a name="emr-4-remediation"></a>

Para habilitar el cifrado en tránsito en una configuración de seguridad de Amazon EMR, consulte [Configuración del cifrado de datos](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) en la *Guía de administración de Amazon EMR*.

# Controles CSPM de Security Hub para EventBridge
<a name="eventbridge-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el EventBridge servicio y los recursos de Amazon.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
<a name="eventbridge-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Events::EventBus`

**AWS Config regla:** `tagged-events-eventbus` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un bus de EventBridge eventos de Amazon tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el bus de eventos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el bus de eventos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="eventbridge-2-remediation"></a>

Para añadir etiquetas a un autobús de EventBridge eventos, consulta las [ EventBridge etiquetas de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) en la *Guía del EventBridge usuario de Amazon*.

## [EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos
<a name="eventbridge-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-2, (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/10.3.1

**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

**Gravedad:** baja

**Tipo de recurso:** `AWS::Events::EventBus`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un bus de eventos EventBridge personalizado de Amazon tiene adjunta una política basada en recursos. Este control falla si el bus de eventos personalizado no tiene una política basada en recursos.

De forma predeterminada, un bus de eventos EventBridge personalizado no incluye una política basada en recursos. Esto permite a los directores de la cuenta acceder al bus de eventos. Al adjuntar una política basada en recursos al bus de eventos, puede limitar el acceso al bus de eventos a cuentas específicas, así como conceder acceso intencionadamente a entidades de otra cuenta.

### Corrección
<a name="eventbridge-3-remediation"></a>

*Para adjuntar una política basada en recursos a un bus de eventos EventBridge personalizado, consulta [Uso de políticas basadas en recursos para Amazon en EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html) la Guía del usuario de Amazon. EventBridge *

## [EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos
<a name="eventbridge-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::Events::Endpoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la replicación de eventos está habilitada para un punto final EventBridge global de Amazon. El control falla si la replicación de eventos no está habilitada para un punto de conexión global.

Los puntos finales globales ayudan a que su aplicación sea tolerante a los errores Regionales. Para empezar, debe asignar una comprobación de estado de Amazon Route 53 al punto de conexión. Cuando se inicia la conmutación por error, la comprobación de estado indica un estado “en mal estado”. A los pocos minutos del inicio de la conmutación por error, todos los eventos personalizados se enrutan a un bus de eventos en la región secundaria y son procesados por ese bus de eventos. Al utilizar puntos finales globales, puede habilitar la replicación de eventos. La replicación de eventos envía todos los eventos personalizados a los buses de eventos de las regiones principal y secundaria mediante reglas administradas. Recomendamos habilitar la replicación de eventos al configurar los puntos finales globales. La replicación de eventos le ayuda a comprobar que los puntos finales globales están configurados correctamente. La replicación de eventos es necesaria para recuperarse automáticamente de un evento de conmutación por error. Si no tiene habilitada la replicación de eventos, tendrá que restablecer manualmente la comprobación de estado de Route 53 a “en buen estado” antes de que los eventos se redirijan a la región principal.

**nota**  
Si utilizas autobuses de eventos personalizados, necesitarás un autobús de eventos personalizado en cada región con el mismo nombre y en la misma cuenta para que la conmutación por error funcione correctamente. Habilitación de la replicación de eventos puede aumentar su costo mensual. Para obtener información sobre los precios, consulta los [ EventBridge precios de Amazon](https://aws.amazon.com/eventbridge/pricing/).

### Corrección
<a name="eventbridge-4-remediation"></a>

Para habilitar la replicación de eventos para puntos de enlace EventBridge globales, consulte [Crear un punto de enlace global](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint) en la *Guía del EventBridge usuario de Amazon*. Para la **Replicación de eventos**, seleccione **Replicación de eventos habilitada**.

# Controles CSPM de Security Hub para Amazon Fraud Detector
<a name="frauddetector-controls"></a>

Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Fraud Detector.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
<a name="frauddetector-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::FraudDetector::EntityType`

**Regla de AWS Config : ** `frauddetector-entity-type-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control verifica si un tipo de entidad de Amazon Fraud Detector tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si el tipo de entidad no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si el parámetro `requiredKeyTags` no está definido, el control solo verifica la existencia de una clave de etiqueta y falla si el tipo de entidad no tiene ninguna. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="frauddetector-1-remediation"></a>

**Para agregar etiquetas a un tipo de entidad de Amazon Fraud Detector (consola)**

1. Abre la consola de Amazon Fraud Detector en [https://console.aws.amazon.com/frauddetect.](https://console.aws.amazon.com/frauddetector/)

1. En el panel de navegación, elija **Entidades**.

1. Seleccione un tipo de entidad en la lista.

1. En la sección **etiquetas de tipos de entidad**, seleccione **Administrar etiquetas**.

1. Elija **Añadir nueva etiqueta**. Escriba la clave y el valor de para la etiqueta. Repita la acción para pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

## [FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
<a name="frauddetector-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::FraudDetector::Label`

**Regla de AWS Config : ** `frauddetector-label-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control verifica si una etiqueta de categoría de Amazon Fraud Detector tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si la etiqueta de categoría no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si el parámetro `requiredKeyTags` no está definido, el control solo verifica la existencia de una clave de etiqueta y falla si la etiqueta de categoría no tiene ninguna. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="frauddetector-2-remediation"></a>

**Para agregar etiquetas a una etiqueta de categoría de Amazon Fraud Detector (consola)**

1. Abre la consola de Amazon Fraud Detector en [https://console.aws.amazon.com/frauddetect.](https://console.aws.amazon.com/frauddetector/)

1. En el panel de navegación, elija **Etiquetas de categoría**.

1. Seleccione una etiqueta de categoría en la lista.

1. En la sección **etiquetas de etiquetas de categorías**, elija **Administrar etiquetas**.

1. Elija **Añadir nueva etiqueta**. Escriba la clave y el valor de para la etiqueta. Repita la acción para pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

## [FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
<a name="frauddetector-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::FraudDetector::Outcome`

**Regla de AWS Config : ** `frauddetector-outcome-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control verifica si una salida de Amazon Fraud Detector tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si la salida no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si el parámetro `requiredKeyTags` no está definido, el control solo verifica la existencia de una clave de etiqueta y falla si la salida no tiene ninguna. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="frauddetector-3-remediation"></a>

**Para agregar etiquetas a una salida de Amazon Fraud Detector (consola)**

1. Abre la consola de Amazon Fraud Detector en [https://console.aws.amazon.com/frauddetect.](https://console.aws.amazon.com/frauddetector/)

1. En el panel de navegación, elija **Salidas**.

1. Seleccione una salida en la lista.

1. En la sección **etiquetas de salidas**, elija **Administrar etiquetas**.

1. Elija **Añadir nueva etiqueta**. Escriba la clave y el valor de para la etiqueta. Repita la acción para pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

## [FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
<a name="frauddetector-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::FraudDetector::Variable`

**Regla de AWS Config : ** `frauddetector-variable-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una variable de Amazon Fraud Detector tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si la variable no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si la variable no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="frauddetector-4-remediation"></a>

**Para agregar etiquetas a una variable de Amazon Fraud Detector (consola)**

1. Abre la consola de Amazon Fraud Detector en [https://console.aws.amazon.com/frauddetect.](https://console.aws.amazon.com/frauddetector/)

1. En el panel de navegación, elija **Variables**.

1. Seleccione una variable de la lista.

1. En la sección **etiquetas de variables**, elija **Administrar etiquetas**.

1. Elija **Añadir nueva etiqueta**. Escriba la clave y el valor de para la etiqueta. Repita la acción para pares de clave-valor adicionales.

1. Cuando haya terminado de agregar etiquetas, elija **Save (Guardar)**.

# Controles CSPM de Security Hub para Amazon FSx
<a name="fsx-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el FSx servicio y los recursos de Amazon. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes
<a name="fsx-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NISt.800-53.r5 CM-2, NISt.800-53.r5 CM-2 (2)

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un sistema de archivos Amazon FSx for OpenZFS está configurado para copiar etiquetas en copias de seguridad y volúmenes. Se produce un error en el control si el sistema de archivos de OpenZFS no está configurado para copiar etiquetas en copias de seguridad y volúmenes.

La identificación y el inventario de sus activos de TI es un aspecto importante de gobernanza y seguridad. Las etiquetas le ayudan a clasificar AWS los recursos de diferentes maneras, por ejemplo, por propósito, propietario o entorno. Esto es útil cuando tiene muchos recursos del mismo tipo porque puede identificar rápidamente un recurso específico en función de las etiquetas que le haya asignado.

### Corrección
<a name="fsx-1-remediation"></a>

Para obtener información sobre cómo configurar un sistema de archivos OpenZFS FSx para copiar etiquetas en copias de seguridad y volúmenes, consulte [Actualización de un sistema de archivos](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/updating-file-system.html) en la Guía del usuario de *Amazon FSx para OpenZFS*.

## [FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad
<a name="fsx-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-9, NIST.800-53.r5 CM-8

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un sistema de archivos de Amazon FSx for Lustre está configurado para copiar etiquetas en copias de seguridad y volúmenes. Se produce un error en el control si el sistema de archivos de Lustre no está configurado para copiar etiquetas en copias de seguridad y volúmenes.

La identificación y el inventario de sus activos de TI es un aspecto importante de gobernanza y seguridad. Las etiquetas le ayudan a clasificar AWS los recursos de diferentes maneras, por ejemplo, por propósito, propietario o entorno. Esto es útil cuando tiene muchos recursos del mismo tipo porque puede identificar rápidamente un recurso específico en función de las etiquetas que le haya asignado.

### Corrección
<a name="fsx-2-remediation"></a>

Para obtener información sobre cómo configurar un sistema de archivos FSx para Lustre para copiar etiquetas a copias de seguridad, consulte [Copiar copias de seguridad dentro del mismo](https://docs.aws.amazon.com/fsx/latest/LustreGuide/copying-backups-same-account.html) sistema Cuenta de AWS en la Guía del *usuario de Amazon FSx for Lustre*.

## [FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples
<a name="fsx-3"></a>

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html)

**Tipo de programa:** Periódico

**Parámetros:** `deploymentTypes: MULTI_AZ_1` (no personalizables)

Este control comprueba si un sistema de archivos Amazon FSx for OpenZFS está configurado para utilizar el tipo de despliegue de múltiples zonas de disponibilidad (Multi-AZ). El control falla si el sistema de archivos no está configurado para usar el tipo de implementación Multi-AZ.

Amazon FSx for OpenZFS admite varios tipos de implementación para sistemas de archivos: *Multi-AZ (HA), Single-AZ (HA)* *y *Single-AZ* (no HA)*. Los tipos de implementación ofrecen distintos niveles de disponibilidad y durabilidad. Los sistemas de archivos Multi-AZ (HA) se componen de un par de servidores de archivos de alta disponibilidad (HA) que se distribuyen en dos zonas de disponibilidad (). AZs Recomendamos usar el tipo de implementación Multi-AZ (alta disponibilidad) para la mayoría de las cargas de trabajo de producción debido al modelo de alta disponibilidad y durabilidad que proporciona.

### Corrección
<a name="fsx-3-remediation"></a>

Puede configurar un sistema de archivos Amazon FSx for OpenZFS para que utilice el tipo de despliegue Multi-AZ al crear el sistema de archivos. No puede cambiar el tipo de implementación de un sistema de archivos existente FSx para OpenZFS.

Para obtener información sobre los tipos y opciones de implementación de los sistemas de archivos OpenZFS, consulte [Disponibilidad y durabilidad de Amazon FSx para OpenZFS y](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/availability-durability.html) [Administración de los recursos del sistema de archivos en](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html) la Guía del usuario de *Amazon FSx for* OpenZFS. FSx 

## [FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples
<a name="fsx-4"></a>

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `deploymentTypes`  |  Una lista de tipos de implementación que se deben incluir en la evaluación. El control genera un resultado `FAILED` si un sistema de archivos no está configurado para usar un tipo de implementación especificado en la lista.  |  Enum  |  `MULTI_AZ_1`, `MULTI_AZ_2`  |  `MULTI_AZ_1`, `MULTI_AZ_2`  | 

Este control comprueba si un sistema de archivos de Amazon FSx for NetApp ONTAP está configurado para utilizar un tipo de despliegue de varias zonas de disponibilidad (Multi-AZ). El control falla si el sistema de archivos no está configurado para usar un tipo de implementación Multi-AZ. Puede especificar opcionalmente una lista de tipos de implementación para incluir en la evaluación.

*Amazon FSx for NetApp ONTAP admite varios tipos de implementación para sistemas de archivos: *Single-AZ 1, Single-AZ* *2, Multi-AZ* *1 y Multi-AZ* 2.* Los tipos de implementación ofrecen distintos niveles de disponibilidad y durabilidad. Recomendamos usar un tipo de implementación Multi-AZ para la mayoría de las cargas de trabajo de producción, debido al modelo de alta disponibilidad y durabilidad que proporcionan los tipos de implementación Multi-AZ. Los sistemas de archivos Multi-AZ admiten todas las características de disponibilidad y durabilidad de los sistemas de archivos Single-AZ. Además, están diseñados para proporcionar disponibilidad continua a los datos aún cuando una zona de disponibilidad (AZ) no esté disponible.

### Corrección
<a name="fsx-4-remediation"></a>

No puedes cambiar el tipo de implementación de un sistema de archivos Amazon FSx for NetApp ONTAP existente. Sin embargo, puede realizar una copia de seguridad de los datos y luego restaurarlos en un nuevo sistema de archivos que use un tipo de implementación Multi-AZ.

Para obtener información sobre los tipos y opciones de despliegue de los sistemas de archivos de ONTAP, consulte [Disponibilidad, durabilidad y opciones de despliegue y](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/high-availability-AZ.html) [Gestión de sistemas de archivos](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-file-systems.html) en la Guía del usuario *FSx de ONTAP*. FSx 

## [FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples
<a name="fsx-5"></a>

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::FSx::FileSystem`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html)

**Tipo de programa:** Periódico

**Parámetros:** `deploymentTypes: MULTI_AZ_1` (no personalizables)

Este control comprueba si un sistema de archivos del servidor de archivos de Amazon FSx para Windows está configurado para utilizar el tipo de despliegue de múltiples zonas de disponibilidad (Multi-AZ). El control falla si el sistema de archivos no está configurado para usar el tipo de implementación Multi-AZ.

Amazon FSx para Windows File Server admite dos tipos de implementación para sistemas de archivos: *Single-AZ y *Multi-AZ**. Los tipos de implementación ofrecen distintos niveles de disponibilidad y durabilidad. Los sistemas de archivos Single-AZ se componen de una única instancia del servidor de archivos de Windows y un conjunto de volúmenes de almacenamiento dentro de una única zona de disponibilidad (AZ). Los sistemas de archivos Multi-AZ están compuestos por un clúster de servidores de archivos de Windows con alta disponibilidad distribuido en dos zonas de disponibilidad. Recomendamos usar el tipo de implementación Multi-AZ para la mayoría de las cargas de trabajo de producción debido al modelo de alta disponibilidad y durabilidad que proporciona.

### Corrección
<a name="fsx-5-remediation"></a>

Puede configurar un sistema de archivos de Amazon FSx para Windows File Server para que utilice el tipo de despliegue Multi-AZ al crear el sistema de archivos. No puede cambiar el tipo de implementación de un sistema de archivos existente FSx para Windows File Server.

Para obtener información sobre los tipos y opciones de implementación de los sistemas de archivos de Windows File Server, consulte [Disponibilidad y durabilidad: sistemas de archivos Single-AZ y Multi-AZ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/high-availability-multiAZ.html) y [Introducción a Amazon FSx para Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html) en la Guía del *usuario de Amazon FSx para Windows File Server*. FSx 

# Controles CSPM de Security Hub para Global Accelerator
<a name="globalaccelerator-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Global Accelerator servicio y los recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
<a name="globalaccelerator-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::GlobalAccelerator::Accelerator`

**AWS Config regla:** `tagged-globalaccelerator-accelerator` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un AWS Global Accelerator acelerador tiene etiquetas con las teclas específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el acelerador no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el acelerador no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="globalaccelerator-1-remediation"></a>

Para agregar etiquetas a un acelerador global de Global Accelerator, consulte [Etiquetado en AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/tagging-in-global-accelerator.html) en la *Guía para desarrolladores de AWS Global Accelerator *.

# Controles CSPM de Security Hub para AWS Glue
<a name="glue-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Glue servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Glue.1] los AWS Glue trabajos deben estar etiquetados
<a name="glue-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Glue::Job`

**AWS Config regla:** `tagged-glue-job` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un AWS Glue trabajo tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el trabajo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el trabajo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="glue-1-remediation"></a>

Para añadir etiquetas a un AWS Glue trabajo, consulte las [AWS etiquetas AWS Glue en](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html) la Guía del *AWS Glue usuario*.

## [Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo
<a name="glue-3"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::Glue::MLTransform`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** no

Este control comprueba si una transformación AWS Glue de aprendizaje automático está cifrada en reposo. El control falla si la transformación de machine learning no está cifrada en reposo.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="glue-3-remediation"></a>

Para configurar el cifrado para las transformaciones de aprendizaje AWS Glue automático, consulte [Trabajar con transformaciones de aprendizaje automático](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html) en la *Guía del AWS Glue usuario*.

## [Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
<a name="glue-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), niST.800-53.r5 CM-2, niST.800-53.r5 SI-2, niST.800-53.r5 SI-2 (2), niST.800-53.r5 SI-2 (4), NIst.800-53.r5 SI-2 (5)

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::Glue::Job`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** `minimumSupportedGlueVersion`: `3.0` (no personalizables)

Este control AWS Glue comprueba si un trabajo de Spark está configurado para ejecutarse en una AWS Glue versión compatible de. El control falla si el trabajo de Spark está configurado para ejecutarse en una versión anterior a la versión mínima compatible. AWS Glue 

**nota**  
Este control también genera la `FAILED` búsqueda de un AWS Glue trabajo de Spark si la propiedad AWS Glue version (`GlueVersion`) no existe o es nula en el elemento de configuración (CI) del trabajo. En tales casos, el resultado incluye la anotación siguiente: `GlueVersion is null or missing in glueetl job configuration`. Para resolver este tipo de resultado `FAILED`, agregue la propiedad `GlueVersion` a la configuración del trabajo. Para obtener una lista de versiones compatibles y entornos de tiempo de ejecución, consulte [Versiones de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions) en la *Guía del usuario de AWS Glue *.

Ejecutar trabajos de AWS Glue Spark en las versiones actuales de AWS Glue puede optimizar el rendimiento, la seguridad y el acceso a las funciones más recientes de AWS Glue. También puede ayudar a proteger contra vulnerabilidades de seguridad. Por ejemplo, se puede publicar una versión nueva para ofrecer actualizaciones de seguridad, corregir problemas o incorporar características nuevas.

### Corrección
<a name="glue-4-remediation"></a>

Para obtener información sobre cómo migrar un trabajo de Spark a una versión compatible de AWS Glue, consulte [Migración de trabajos AWS Glue de Spark](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html) en la Guía del *AWS Glue usuario*.

# Controles CSPM de Security Hub para Amazon GuardDuty
<a name="guardduty-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el GuardDuty servicio y los recursos de Amazon. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [GuardDuty.1] GuardDuty debería estar activado
<a name="guardduty-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), 1 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SA-1 1 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (6), 5 (2), NIST.800-53.r5 SA-1 5 (8), (19), (21), (25), ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 Nist.800-53.r5 SI-20, NIST.800-53.r5 SA-8 Nist.800-53.r5 SI-3 NIST.800-53.r5 SA-8 (8), NIST.800-53.r5 SC-5 Nist.800-53.r5 SI-4, Nist.800-53.r5 R5 SI-4 NIST.800-53.r5 SC-5 (1), NiSt.800-53.r5 SI-4 (13), NiSt.800-53.r5 SI-4 (2), NiSt.800-53.r5 SI-4 (22), NiSt.800-53.r5 SI-4 (25), NISt.800-53.r5 SI-4 (4), NiSt.800-53.r5 SI-4 (5), NiSt.800-171.r2 3.4.2, NiSt.800-171.r2 3.14.6, NiSt.800-171.r2 3.14.7, PCI DSS v3.2.1/11.4 NIST.800-53.r5 SA-8 NIST.800-53.r5 SC-5 , PCI DSS v4.0.1/11.5.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si Amazon GuardDuty está activado en tu GuardDuty cuenta y región.

Se recomienda encarecidamente que lo habilites GuardDuty en todas las AWS regiones compatibles. Si lo hace, podrá GuardDuty obtener información sobre actividades no autorizadas o inusuales, incluso en las regiones que no utilice activamente. Esto también permite monitorear CloudTrail eventos GuardDuty a nivel mundial Servicios de AWS , como la IAM.

### Corrección
<a name="guardduty-1-remediation"></a>

Para activarlo GuardDuty, consulta [Cómo empezar con GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) en la *Guía del GuardDuty usuario de Amazon*.

## [GuardDuty.2] GuardDuty los filtros deben estar etiquetados
<a name="guardduty-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::GuardDuty::Filter`

**AWS Config regla:** `tagged-guardduty-filter` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un GuardDuty filtro de Amazon tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el filtro no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el filtro no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="guardduty-2-remediation"></a>

Para añadir etiquetas a un GuardDuty filtro, consulta la *referencia [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)de la GuardDuty API de Amazon*.

## [GuardDuty.3] GuardDuty IPSets debe estar etiquetado
<a name="guardduty-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::GuardDuty::IPSet`

**AWS Config regla:** `tagged-guardduty-ipset` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si Amazon GuardDuty IPSet tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si IPSet no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro`requiredTagKeys`. Si `requiredTagKeys` no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si IPSet no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="guardduty-3-remediation"></a>

Para añadir etiquetas a un GuardDuty IPSet, consulta la *referencia [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)de la GuardDuty API de Amazon*.

## [GuardDuty.4] GuardDuty los detectores deben estar etiquetados
<a name="guardduty-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**AWS Config regla:** `tagged-guardduty-detector` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un GuardDuty detector de Amazon tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el detector no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el detector no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="guardduty-4-remediation"></a>

Para añadir etiquetas a un GuardDuty detector, consulta la *referencia [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)de la GuardDuty API de Amazon*.

## [GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
<a name="guardduty-5"></a>

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la supervisión del registro de auditoría de GuardDuty EKS está habilitada. En el caso de una cuenta independiente, el control falla si la supervisión del registro de auditoría de GuardDuty EKS está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la monitorización de registros de auditoría de EKS.

En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta del administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función de supervisión del registro de auditoría de EKS para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera `FAILED` resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la monitorización del registro de auditoría de GuardDuty EKS. Para recibir una `PASSED` confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty

GuardDuty La monitorización de registros de auditoría de EKS le ayuda a detectar actividades potencialmente sospechosas en sus clústeres de Amazon Elastic Kubernetes Service (Amazon EKS). La supervisión de registros de auditoría de EKS utiliza los registros de auditoría de Kubernetes para capturar las actividades cronológicas de los usuarios, las aplicaciones que utilizan la API de Kubernetes y el plano de control.

### Corrección
<a name="guardduty-5-remediation"></a>

Para habilitar la supervisión del registro de auditoría de GuardDuty [EKS, consulte la supervisión del registro de auditoría](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html) de EKS en la *Guía del GuardDuty usuario de Amazon*.

## [GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
<a name="guardduty-6"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la Protección GuardDuty Lambda está habilitada. En el caso de una cuenta independiente, el control falla si GuardDuty Lambda Protection está deshabilitada en la cuenta. En un entorno de varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la Protección Lambda.

En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta de administrador delegado. GuardDuty Solo el administrador delegado puede activar o desactivar la función Lambda Protection para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera `FAILED` resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la Protección GuardDuty Lambda. Para recibir una confirmación`PASSED`, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty

GuardDuty Lambda Protection le ayuda a identificar posibles amenazas de seguridad cuando se invoca una AWS Lambda función. Después de activar Lambda Protection, GuardDuty comienza a monitorear los registros de actividad de la red Lambda asociados a las funciones de Lambda en su. Cuenta de AWS Cuando se invoca una función Lambda e GuardDuty identifica tráfico de red sospechoso que indica la presencia de un fragmento de código potencialmente malicioso en la función Lambda, GuardDuty genera una detección. 

### Corrección
<a name="guardduty-6-remediation"></a>

*Para activar GuardDuty Lambda Protection, consulte Configuración de [Lambda Protection en la Guía del usuario](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html) de Amazon. GuardDuty *

## [GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
<a name="guardduty-7"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la monitorización del tiempo de ejecución de GuardDuty EKS con administración automática de agentes está habilitada. En el caso de una cuenta independiente, el control falla si GuardDuty EKS Runtime Monitoring con administración automática de agentes está deshabilitado en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada EKS Runtime Monitoring con la administración automática de agentes habilitada.

En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta de administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función EKS Runtime Monitoring, que permite gestionar de forma automática los agentes de las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera `FAILED` resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la monitorización de tiempo de ejecución de GuardDuty EKS. Para recibir una `PASSED` confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty

EKS Protection en Amazon GuardDuty ofrece cobertura de detección de amenazas para ayudarle a proteger los clústeres de Amazon EKS en su AWS entorno. La supervisión en tiempo de ejecución de EKS utiliza los eventos de nivel de sistema operativo para ayudarlo a detectar posibles amenazas en los nodos y contenedores de EKS de sus clústeres de EKS. 

### Corrección
<a name="guardduty-7-remediation"></a>

Para habilitar EKS Runtime Monitoring con la administración automatizada de agentes, consulte [Habilitar GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) en la *Guía del GuardDuty usuario de Amazon*.

## [GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
<a name="guardduty-8"></a>

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la protección contra GuardDuty malware está habilitada. En el caso de una cuenta independiente, el control falla si la protección contra GuardDuty malware está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la protección contra malware.

En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta de administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función de protección contra malware para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera `FAILED` resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección contra GuardDuty malware. Para recibir una `PASSED` confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty

GuardDuty Malware Protection for EC2 le ayuda a detectar la posible presencia de malware escaneando los volúmenes de Amazon Elastic Block Store (Amazon EBS) adjuntos a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) y a las cargas de trabajo de contenedores. La protección contra malware ofrece opciones de análisis en las que puede decidir si desea incluir o excluir instancias y cargas de trabajo de contenedores específicas de EC2 en el momento del análisis. También ofrece la opción de conservar en sus cuentas las instantáneas de los volúmenes de EBS adjuntos a las instancias de EC2 o a las cargas de trabajo de los contenedores. GuardDuty Las instantáneas se conservan solo cuando se encuentra malware y se generan los resultados de la protección contra malware. 

### Corrección
<a name="guardduty-8-remediation"></a>

Para activar la protección contra GuardDuty malware para EC2, consulte [Configuración del análisis GuardDuty de malware iniciado](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html) en la Guía * GuardDuty del usuario de Amazon*.

## [GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
<a name="guardduty-9"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la protección GuardDuty RDS está habilitada. En el caso de una cuenta independiente, el control falla si la protección de GuardDuty RDS está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la protección RDS.

En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta de administrador delegado. GuardDuty Solo el administrador delegado puede activar o desactivar la función de protección RDS para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera `FAILED` resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección GuardDuty RDS. Para recibir una confirmación`PASSED`, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty

RDS Protection GuardDuty analiza y perfila la actividad de inicio de sesión de RDS para detectar posibles amenazas de acceso a sus bases de datos de Amazon Aurora (Aurora MySQL Edition y Aurora compatible con PostgreSQL). Esta característica le permite identificar comportamientos de inicio de sesión potencialmente sospechosos. La protección de RDS no requiere infraestructura adicional; está diseñada para no afectar al rendimiento de las instancias de bases de datos. Cuando RDS Protection detecta un intento de inicio de sesión potencialmente sospechoso o anómalo que indica una amenaza para su base de datos, GuardDuty genera un nuevo hallazgo con detalles sobre la base de datos potencialmente comprometida. 

### Corrección
<a name="guardduty-9-remediation"></a>

Para activar la protección de GuardDuty RDS, consulte Protección de [GuardDuty RDS en la](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) Guía * GuardDuty del usuario de Amazon*.

## [GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
<a name="guardduty-10"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.5.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la protección GuardDuty S3 está habilitada. En el caso de una cuenta independiente, el control falla si GuardDuty S3 Protection está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la protección S3.

En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta del administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función de protección S3 para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera `FAILED` resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección GuardDuty S3. Para recibir una `PASSED` confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty

S3 Protection permite supervisar las operaciones de las API GuardDuty a nivel de objeto para identificar posibles riesgos de seguridad para los datos contenidos en sus depósitos de Amazon Simple Storage Service (Amazon S3). GuardDuty monitorea las amenazas contra sus recursos de S3 mediante el análisis de los eventos AWS CloudTrail de administración y los eventos de datos de CloudTrail S3. 

### Corrección
<a name="guardduty-10-remediation"></a>

Para activar la protección GuardDuty S3, consulte [Amazon S3 Protection en Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) en la *Guía del GuardDuty usuario de Amazon*.

## [GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
<a name="guardduty-11"></a>

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la monitorización del tiempo de ejecución está habilitada en Amazon GuardDuty. En el caso de una cuenta independiente, el control falla si GuardDuty Runtime Monitoring está deshabilitado para la cuenta. En un entorno con varias cuentas, el control falla si GuardDuty Runtime Monitoring está deshabilitado para la cuenta de GuardDuty administrador delegado y para todas las cuentas de los miembros.

En un entorno con varias cuentas, solo el GuardDuty administrador delegado puede activar o desactivar GuardDuty Runtime Monitoring para las cuentas de su organización. Además, solo el GuardDuty administrador puede configurar y administrar los agentes de seguridad que GuardDuty utiliza para la supervisión en tiempo de ejecución de AWS las cargas de trabajo y los recursos de las cuentas de la organización. GuardDuty las cuentas de los miembros no pueden activar, configurar ni deshabilitar Runtime Monitoring para sus propias cuentas.

GuardDuty Runtime Monitoring observa y analiza los eventos a nivel del sistema operativo, las redes y los archivos para ayudarlo a detectar posibles amenazas en AWS cargas de trabajo específicas de su entorno. Utiliza agentes de GuardDuty seguridad que añaden visibilidad al comportamiento en tiempo de ejecución, como el acceso a los archivos, la ejecución de procesos, los argumentos de la línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar en busca de amenazas potenciales, como los clústeres de Amazon EKS y las instancias de Amazon EC2.

### Corrección
<a name="guardduty-11-remediation"></a>

Para obtener información sobre cómo configurar y habilitar GuardDuty Runtime Monitoring, consulte [GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html) y [Enabling GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) en la *Guía del GuardDuty usuario de Amazon*.

## [GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
<a name="guardduty-12"></a>

**Categoría:** Detectar - Servicios de detección

**Gravedad:** media

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el agente de seguridad GuardDuty automatizado de Amazon está activado para la supervisión en tiempo de ejecución de los clústeres de Amazon ECS AWS Fargate. En una cuenta independiente, el control falla si el agente de seguridad está desactivado para dicha cuenta. En un entorno con varias cuentas, el control falla si el agente de seguridad está deshabilitado en la cuenta de GuardDuty administrador delegado y en todas las cuentas de los miembros.

En un entorno con varias cuentas, este control solo genera resultados en la cuenta del administrador delegado GuardDuty . Esto se debe a que solo el GuardDuty administrador delegado puede habilitar o deshabilitar la supervisión en tiempo de ejecución de los recursos de ECS-Fargate para las cuentas de su organización. GuardDuty las cuentas de los miembros no pueden hacer esto para sus propias cuentas. Además, este control genera `FAILED` resultados si GuardDuty se suspende para una cuenta de miembro y la supervisión del tiempo de ejecución de los recursos de ECS-Fargate está deshabilitada para la cuenta de miembro. Para recibir una confirmación`PASSED`, el GuardDuty administrador debe desasociar la cuenta de miembro suspendida de su cuenta de administrador mediante. GuardDuty

GuardDuty Runtime Monitoring observa y analiza los eventos a nivel del sistema operativo, las redes y los archivos para ayudarlo a detectar posibles amenazas en AWS cargas de trabajo específicas de su entorno. Utiliza agentes de GuardDuty seguridad que añaden visibilidad al comportamiento en tiempo de ejecución, como el acceso a los archivos, la ejecución de procesos, los argumentos de la línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar en busca de amenazas potenciales. Esto incluye los clústeres de Amazon ECS en AWS Fargate.

### Corrección
<a name="guardduty-12-remediation"></a>

Para habilitar y administrar el agente de seguridad para la supervisión en tiempo de GuardDuty ejecución de los recursos de ECS-Fargate, debe usarlo directamente. GuardDuty No puede habilitarlo ni administrarlo manualmente para los recursos de ECS Fargate. Para obtener información sobre cómo habilitar y administrar el agente de seguridad, consulte [Requisitos previos para el soporte AWS Fargate (solo para Amazon ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html) y [Administración del agente de seguridad automatizado para AWS Fargate (solo Amazon ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html) en la *Guía del GuardDuty usuario de Amazon*.

## [GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada
<a name="guardduty-13"></a>

**Categoría:** Detectar - Servicios de detección

**Gravedad:** media

**Tipo de recurso:** `AWS::GuardDuty::Detector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el agente de seguridad GuardDuty automatizado de Amazon está habilitado para la supervisión en tiempo de ejecución de las instancias de Amazon EC2. En una cuenta independiente, el control falla si el agente de seguridad está desactivado para dicha cuenta. En un entorno con varias cuentas, el control falla si el agente de seguridad está deshabilitado en la cuenta de GuardDuty administrador delegado y en todas las cuentas de los miembros.

En un entorno con varias cuentas, este control solo genera resultados en la cuenta del administrador delegado GuardDuty . Esto se debe a que solo el GuardDuty administrador delegado puede habilitar o deshabilitar Runtime Monitoring de las instancias de Amazon EC2 para las cuentas de su organización. GuardDuty las cuentas de los miembros no pueden hacer esto para sus propias cuentas. Además, este control genera `FAILED` resultados si GuardDuty se suspende en una cuenta de miembro y se desactiva la supervisión del tiempo de ejecución de las instancias de EC2 para la cuenta de miembro. Para recibir una confirmación`PASSED`, el GuardDuty administrador debe desasociar la cuenta de miembro suspendida de su cuenta de administrador mediante. GuardDuty

GuardDuty Runtime Monitoring observa y analiza los eventos a nivel del sistema operativo, las redes y los archivos para ayudarlo a detectar posibles amenazas en AWS cargas de trabajo específicas de su entorno. Utiliza agentes de GuardDuty seguridad que añaden visibilidad al comportamiento en tiempo de ejecución, como el acceso a los archivos, la ejecución de procesos, los argumentos de la línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar en busca de amenazas potenciales. Esto incluye instancias de Amazon EC2.

### Corrección
<a name="guardduty-13-remediation"></a>

*Para obtener información sobre la configuración y la administración del agente de seguridad automatizado para la supervisión en tiempo de GuardDuty ejecución de las instancias EC2, consulte [Requisitos previos para el soporte de instancias de Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html) [y Habilitación del agente de seguridad automatizado para instancias de Amazon EC2 en la Guía del usuario de Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html). GuardDuty *

# Controles CSPM de Security Hub para AWS Identity and Access Management
<a name="iam-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos AWS Identity and Access Management (IAM). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”
<a name="iam-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-2, (7),, (10) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-3 (3), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NISt.800-171.r2 NIST.800-53.r5 AC-6 3.1.4, PCI DSS NIST.800-53.r5 AC-6 v3.2.1/7.2.1 NIST.800-53.r5 AC-6

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** alta

**Tipo de recurso:** `AWS::IAM::Policy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `excludePermissionBoundaryPolicy: true` (no personalizable)

Este control comprueba si la versión predeterminada de las políticas de IAM (también conocidas como políticas administradas por el cliente) tiene acceso de administrador con una instrucción que tenga `"Effect": "Allow"` con `"Action": "*"` en `"Resource": "*"`. El control falla si tiene políticas de IAM con una declaración de este tipo.

El control solo comprueba las políticas administradas por el cliente que haya creado usted. No AWS comprueba las políticas integradas y gestionadas.

Las políticas de IAM definen un conjunto de privilegios concedidos a usuarios, grupos o roles. Siguiendo los consejos de seguridad estándar, se AWS recomienda conceder los privilegios mínimos, es decir, conceder únicamente los permisos necesarios para realizar una tarea. Cuando proporciona privilegios administrativos completos en lugar del conjunto mínimo de permisos que necesita el usuario, expone los recursos a acciones potencialmente no deseadas.

En lugar de concederles privilegios administrativos totales, determine las tareas que tienen que realizar los usuarios y elabore políticas al respecto para permitir a los usuarios realizar solo esas tareas. Es más seguro comenzar con un conjunto mínimo de permisos y conceder permisos adicionales según sea necesario. No comience con permisos demasiado indulgentes para luego restringirlos más adelante.

Debe quitar las políticas de IAM que tienen una instrucción con `"Effect": "Allow" ` y `"Action": "*"` en `"Resource": "*"`.

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-1-remediation"></a>

Para modificar sus políticas de IAM de manera que no permitan todos los privilegios administrativos “\$1”, consulte [Edición de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) en la *Guía del usuario de IAM*.

## [IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
<a name="iam-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.14, CIS AWS Foundations Benchmark v3.0.0/1.15, CIS Foundations Benchmark v1.2.0/1.16,, NIST.800-53.r5 AC-2 (1), (15), (7),, (3) NIST.800-53.r5 AC-2, NIST.800-171.r2 3.1.1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NISt.800-171.r2 3.1.2, NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.7 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.3.9, NIST.800-171.r2 3.3.9 800-171.r2 3.13.3, PCI AWS DSS v3.2.1/7.2.1

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** baja

**Tipo de recurso:** `AWS::IAM::User`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si sus usuarios de IAM tienen políticas asociadas. El control falla si los usuarios de IAM tienen políticas asociadas. Los usuarios de IAM deben heredar los permisos de los grupos de IAM o asumir un rol.

De forma predeterminada, los usuarios, grupos y roles de IAM no tienen acceso a AWS los recursos. Las políticas de IAM conceden privilegios a los usuarios, grupos o roles. Recomendamos aplicar políticas de IAM directamente a grupos y roles, pero no a los usuarios. La asignación de privilegios en el nivel de grupo o rol reduce la complejidad de la administración del acceso a medida que crece el número de usuarios. A su vez, la reducción de la complejidad de la administración del acceso podría reducir la oportunidad de que una entidad principal reciba o conserve accidentalmente excesivos privilegios. 

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede deshabilitar este control en todas las regiones salvo en la región en la que haya registrado los recursos globales.

### Corrección
<a name="iam-2-remediation"></a>

Para resolver este problema, [cree un grupo de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html) y asocie la política al grupo. Luego, [agregue los usuarios al grupo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html). La política se aplica a cada usuario del grupo. Para eliminar una política asociada directamente a un usuario, consulte [Adición y eliminación de permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) en la *Guía del usuario de IAM*.

## [IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
<a name="iam-3"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.13, CIS Foundations Benchmark v3.0.0/1.14, CIS AWS Foundations Benchmark v1.4.0/1.14, CIS AWS Foundations Benchmark v1.2.0/1.4, (1), (3), (15), PCI DSS AWS v4.0.1/8.3.9, PCI DSS v4.0.1/8.6.3 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media 

**Tipo de recurso:** `AWS::IAM::User`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)

**Tipo de programa:** Periódico

**Parámetros:**
+ `maxAccessKeyAge`: `90` (no personalizable)

Este control comprueba si las claves de acceso activas rotan en un plazo de 90 días.

Le recomendamos encarecidamente que no genere y elimine todas las claves de acceso de la cuenta. En su lugar, la mejor práctica recomendada es crear una o más funciones de IAM o utilizar la [federación mediante la federación](https://aws.amazon.com/identity/federation/) AWS IAM Identity Center. Puede utilizar estos métodos para permitir que sus usuarios accedan a Consola de administración de AWS y AWS CLI.

Cada enfoque tiene sus casos de uso. La federación es generalmente mejor para las empresas que tienen un directorio o plan central existente y prevén que van a necesitar más que el límite actual de usuarios de IAM. Las aplicaciones que se ejecutan fuera de un AWS entorno necesitan claves de acceso para acceder a AWS los recursos mediante programación.

Sin embargo, si los recursos que necesitan acceso programático se ejecutan internamente AWS, la mejor práctica es utilizar las funciones de IAM. Los roles le permiten conceder acceso a un recurso sin codificar de forma rígida un ID de clave de acceso y una clave de acceso secreta en la configuración.

Para obtener más información sobre cómo proteger las claves de acceso y la cuenta, consulte [las prácticas recomendadas para administrar las claves de AWS acceso](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) en el. *Referencia general de AWS* Consulte también la entrada del blog [Pautas para protegerse Cuenta de AWS mientras utiliza el acceso programático](https://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/).

Si ya tiene una clave de acceso, Security Hub CSPM recomienda rotar las claves de acceso cada 90 días. La rotación de las claves de acceso reduce la posibilidad de que se utilice una clave de acceso asociada a una cuenta en peligro o cancelada. También garantiza que no se pueda acceder a los datos con una clave antigua que podría haberse perdido, revelado o robado. Actualice siempre sus aplicaciones después de rotar las claves de acceso. 

Las claves de acceso constan de un ID de clave de acceso y de una clave de acceso secreta. Se utilizan para firmar las solicitudes programáticas que realiza a AWS. Los usuarios necesitan sus propias claves de acceso para realizar llamadas programáticas AWS desde Tools for Windows PowerShell o llamadas HTTP directas mediante las operaciones de la API individuales. AWS CLI AWS SDKs Servicios de AWS

Si su organización utiliza AWS IAM Identity Center (IAM Identity Center), sus usuarios pueden iniciar sesión en Active Directory, en un directorio integrado del IAM Identity Center o en [otro proveedor de identidad (IdP) conectado al IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) Identity Center. A continuación, pueden asignarse a una función de IAM que les permita ejecutar AWS CLI comandos o realizar operaciones de AWS API sin necesidad de claves de acceso. Para obtener más información, consulte [Configuración del AWS CLI uso AWS IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) en la Guía del *AWS Command Line Interface usuario*.

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-3-remediation"></a>

Para rotar las claves de acceso que tienen más de 90 días de antigüedad, consulte [Rotación de las claves de acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) en la *Guía del usuario de IAM*. Siga las instrucciones para cualquier usuario cuya **clave de acceso** tenga más de 90 días de antigüedad.

## [IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
<a name="iam-4"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.3, CIS AWS Foundations Benchmark v3.0.0/1.4, CIS AWS Foundations Benchmark v1.4.0/1.4, CIS AWS Foundations Benchmark v1.2.0/1.12, PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (15), (7), (10), (2) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** crítica 

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si está presente la clave de acceso del usuario raíz. 

El usuario root es el usuario con más privilegios de un Cuenta de AWS. AWS las claves de acceso proporcionan acceso programático a una cuenta determinada.

Security Hub CSPM recomienda eliminar todas las claves de acceso asociadas al usuario root. Esto limita los vectores que se pueden utilizar para comprometer su cuenta. También fomenta la creación y el uso de cuentas basadas en roles, que tienen menos privilegios. 

### Corrección
<a name="iam-4-remediation"></a>

Para eliminar la clave de acceso del usuario raíz, consulte [Eliminar las claves de acceso del usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_delete-key) en la *Guía del usuario de IAM*. Para eliminar las claves de acceso del usuario raíz de una entrada Cuenta de AWS AWS GovCloud (US), consulte [Eliminar las claves de acceso del usuario raíz de mi AWS GovCloud (US) cuenta](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-account-root-user.html#delete-govcloud-root-access-key) en la Guía del *AWS GovCloud (US) usuario*.

## [IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola
<a name="iam-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.9, CIS AWS Foundations Benchmark v3.0.0/1.10, CIS AWS Foundations Benchmark v1.4.0/1.10, CIS AWS Foundations Benchmark v1.2.0/1.2, NIST.800-53.r5 AC-3 (1), NIST.800-53.r5 IA-2 (15), NIST.800-53.r5 IA-2 (1), NIST.800-53.r5 IA-2 (2), NIST.800-53.r5 IA-2 (6), (8), PCI DSS v4.0.1/8.4.2 NIST.800-53.r5 AC-2

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::IAM::User`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la autenticación AWS multifactor (MFA) está habilitada para todos los usuarios de IAM que utilizan una contraseña de consola.

La autenticación multifactor (MFA) agrega una capa adicional de protección además del nombre de usuario y la contraseña. Con la MFA habilitada, cuando un usuario inicia sesión en un AWS sitio web, se le solicita su nombre de usuario y contraseña. Además, se les solicita un código de autenticación desde su dispositivo AWS MFA.

Recomendamos que habilite la MFA para todas las cuentas que tengan una contraseña de consola. MFA está diseñado para proporcionar una mayor seguridad para acceder a la consola. La entidad de autenticación debe poseer un dispositivo que emita una clave sujeta a limitación temporal y debe tener conocimiento de una credencial.

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-5-remediation"></a>

Para agregar MFA a los usuarios de IAM, consulte [Uso de la autenticación multifactor (MFA) en AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) en la *Guía del usuario de IAM*.

## [PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
<a name="iam-6"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.5, CIS AWS Foundations Benchmark v3.0.0/1.6, CIS AWS Foundations Benchmark v1.4.0/1.6, CIS AWS Foundations Benchmark v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, NIST.800-53.r5 AC-2 (1), (15), (1), NIST.800-53.r5 AC-3 (2), (6), NIST.800-53.r5 IA-2 (8), NIST.800-53.r5 IA-2 PCI DSS v4.0.1/8.4.2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** crítica

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si Cuenta de AWS está habilitado para usar un dispositivo de autenticación multifactor (MFA) de hardware para iniciar sesión con credenciales de usuario root. El control falla si no está habilitado MFA de hardware o si se permiten dispositivos MFA virtuales para iniciar sesión con las credenciales del usuario raíz.

Una aplicación de MFA virtual podría no proporcionar el mismo nivel de seguridad que un dispositivo MFA físico. Recomendamos que use un dispositivo MFA virtual solo mientras espera la aprobación de compra o la llegada del dispositivo de hardware. Para obtener más información, consulte [Asignación de un dispositivo MFA virtual (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html) en la *Guía del usuario de IAM*.

**nota**  
Security Hub CSPM evalúa este control en función de la presencia de credenciales de usuario raíz (perfil de inicio de sesión) en un. Cuenta de AWS El control arroja resultados `PASSED` en los siguientes casos:  
Las credenciales del usuario raíz están presentes en la cuenta y MFA de hardware está habilitado para el usuario raíz.
Las credenciales del usuario raíz no están presentes en la cuenta.
El control genera un resultado de `FAILED` si las credenciales del usuario raíz están presentes en la cuenta y MFA de hardware no está habilitado para el usuario raíz.

### Corrección
<a name="iam-6-remediation"></a>

Para obtener información sobre cómo habilitar MFA de hardware para el usuario raíz, consulte [Autenticación multifactor para una Usuario raíz de la cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) en la *Guía del usuario de IAM*.

## [IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
<a name="iam-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2 (15), NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-5 (1), NiSt.800-171.r2 3.5.2, NiSt.800-171.r2 3.5.7, NiSt.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.7, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.10.1, PCI DSS v4.0.1/8.6.3

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `RequireUppercaseCharacters`  |  Requiere que al menos haya un carácter en mayúscula en la contraseña  |  Booleano  |  `true` o `false`  |  `true`  | 
|  `RequireLowercaseCharacters`  |  Requiere que al menos haya un carácter en minúscula en la contraseña  |  Booleano  |  `true` o `false`  |  `true`  | 
|  `RequireSymbols`  |  Requiere que al menos haya un símbolo en la contraseña  |  Booleano  |  `true` o `false`  |  `true`  | 
|  `RequireNumbers`  |  Requiere que al menos haya un número en la contraseña  |  Booleano  |  `true` o `false`  |  `true`  | 
|  `MinimumPasswordLength`  |  Cantidad mínima de caracteres en la contraseña  |  Entero  |  De `8` a `128`  |  `8`  | 
|  `PasswordReusePrevention`  |  Cantidad de rotaciones de contraseñas para poder reutilizar una contraseña anterior  |  Entero  |  De `12` a `24`  |  Sin valor predeterminado  | 
|  `MaxPasswordAge`  |  Cantidad de días antes de que la contraseña expire  |  Entero  |  De `1` a `90`  |  Sin valor predeterminado  | 

Este control comprueba si la política de contraseñas de cuenta para usuarios de IAM utiliza las siguientes configuraciones seguras. Se producirá un error en el control si la política de contraseñas no utiliza configuraciones seguras. A menos que proporcione valores de parámetros personalizados, el CSPM de Security Hub utiliza los valores predeterminados mencionados en la tabla anterior. `MaxPasswordAge`Los parámetros `PasswordReusePrevention` y no tienen un valor predeterminado, por lo que si los excluye, Security Hub CSPM ignora el número de rotaciones de contraseñas y la antigüedad de la contraseña al evaluar este control.

Para acceder a Consola de administración de AWS, los usuarios de IAM necesitan contraseñas. Como práctica recomendada, Security Hub CSPM recomienda encarecidamente que, en lugar de crear usuarios de IAM, utilice la federación. La federación permite a los usuarios utilizar sus credenciales corporativas existentes para iniciar sesión en Consola de administración de AWS. Utilice AWS IAM Identity Center (IAM Identity Center) para crear o federar el usuario y, a continuación, asuma una función de IAM en una cuenta.

Para obtener más información sobre los proveedores de identidad y la federación, consulte [Proveedores de identidad y federación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) en la *Guía del usuario de IAM*. Para obtener más información sobre IAM Identity Center, consulte la [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).

 Si necesita utilizar usuarios de IAM, Security Hub CSPM recomienda que exija la creación de contraseñas de usuario seguras. Puede establecer una política de contraseñas Cuenta de AWS para especificar los requisitos de complejidad y los períodos de rotación obligatorios de las contraseñas. Al crear o cambiar una política de contraseñas, la mayoría de los ajustes de la política de contraseñas se aplican la siguiente vez que los usuarios cambien sus contraseñas. Algunos de los ajustes se aplican de forma inmediata.

### Corrección
<a name="iam-7-remediation"></a>

Para actualizar la política de contraseñas, consulte [Configuración de una política de contraseñas de la cuenta para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*.

## [IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
<a name="iam-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.3, NIST.800-53.r5 AC-2 (1), (3) NIST.800-53.r5 AC-2, (15), NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.2, PCI DSS v3.2.1/8.1.4 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.2.6

**Categoría:** Proteger - Administración de acceso seguro 

**Gravedad:** media 

**Tipo de recurso:** `AWS::IAM::User`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)

**Tipo de programa:** Periódico

**Parámetros:**
+ `maxCredentialUsageAge`: `90` (no personalizable)

Este control comprueba si los usuarios de IAM tienen contraseñas o claves de acceso activas que no se han utilizado durante 90 días.

Los AWS usuarios de IAM pueden acceder a los recursos mediante distintos tipos de credenciales, como contraseñas o claves de acceso. 

Security Hub CSPM recomienda eliminar o desactivar todas las credenciales que no se hayan utilizado durante 90 días o más. Al deshabilitar o eliminar credenciales innecesarias se reduce la oportunidad de que se utilicen credenciales asociadas a una cuenta en peligro o abandonada.

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-8-remediation"></a>

Al ver la información del usuario en la consola de IAM, hay columnas para la antigüedad de la **clave de acceso, la antigüedad** de la **Contraseña** y la **Última actividad**. Si el valor en cualquiera de estas columnas es superior a 90 días, desactive las credenciales de esos usuarios.

También puede utilizar los [informes de credenciales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) para monitorizar a los usuarios e identificar a aquellos que no tienen actividad durante 90 días o más. Puede descargar los informes de credenciales en formato `.csv` desde la consola de IAM.

Después de identificar las cuentas inactivas o las credenciales no utilizadas, desactívalas. Para obtener instrucciones, consulte [Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) en la *Guía del usuario de IAM*.

## [IAM.9] La MFA debe estar habilitada para el usuario raíz
<a name="iam-9"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.4, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, CIS Foundations Benchmark v3.0.0/1.5, CIS AWS Foundations Benchmark v1.4.0/1.5, CIS AWS Foundations Benchmark v1.2.0/1.13, (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), NIST.800-53.r5 AC-3 (8) AWS NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Categoría:** Proteger - Administración de acceso seguro 

**Gravedad:** crítica

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la autenticación multifactor (MFA) está habilitada para que el usuario raíz de IAM de Cuenta de AWS an inicie sesión en. Consola de administración de AWS El control falla si MFA no está habilitado para el usuario raíz de la cuenta.

El usuario raíz de IAM de an Cuenta de AWS tiene acceso completo a todos los servicios y recursos de la cuenta. Si la MFA está habilitada, el usuario debe introducir un nombre de usuario, una contraseña y un código de autenticación desde su dispositivo de AWS MFA para poder iniciar sesión en. Consola de administración de AWS MFA aporta una capa adicional de protección sobre el nombre de usuario y la contraseña.

Este control genera un resultado `PASSED` en los siguientes casos:
+ Las credenciales del usuario raíz están presentes en la cuenta y MFA está habilitada para el usuario raíz.
+ Las credenciales del usuario raíz no están presentes en la cuenta.

El control genera resultados `FAILED` si las credenciales del usuario raíz están presentes en la cuenta y MFA no está habilitada para el usuario raíz.

### Corrección
<a name="iam-9-remediation"></a>

*Para obtener información sobre cómo habilitar la MFA para el usuario raíz de un dispositivo Cuenta de AWS, consulte [Autenticación multifactorial Usuario raíz de la cuenta de AWS en la Guía del](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) usuario.AWS Identity and Access Management *

## [IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida
<a name="iam-10"></a>

**Requisitos relacionados:** NIST.800-171.r2 3.5.2, NIST.800-171.r2 3.5.7, NIST.800-171.r2 3.5.8, PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5

**Categoría:** Proteger - Administración de acceso seguro 

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si la política de contraseñas de cuenta para usuarios de IAM utiliza las siguientes configuraciones mínimas de PCI DSS.
+ `RequireUppercaseCharacters`: requiere que al menos haya un carácter en mayúscula en la contraseña. (Valor predeterminado = `true`)
+ `RequireLowercaseCharacters`: requiere que al menos haya un carácter en minúscula en la contraseña. (Valor predeterminado = `true`)
+ `RequireNumbers`: requiere que al menos haya un número en la contraseña. (Valor predeterminado = `true`)
+ `MinimumPasswordLength`: longitud mínima de la contraseña. (Predeterminado = 7 o más)
+ `PasswordReusePrevention`: número de contraseñas antes de que se permita reutilizarlas. (Valor predeterminado = 4)
+ `MaxPasswordAge`: número de días antes del vencimiento de la contraseña. (Valor predeterminado = 90)

**nota**  
El 30 de mayo de 2025, Security Hub CSPM eliminó este control del estándar PCI DSS v4.0.1. La versión 4.0.1 de PCI DSS ahora requiere que las contraseñas tengan un mínimo de 8 caracteres. Este control aún se aplica al estándar PCI DSS v3.2.1, el cual tiene requisitos distintos para contraseñas.  
Para evaluar las políticas de contraseñas de cuentas conforme a los requisitos de PCI DSS v4.0.1, puede usar el control [IAM.7](#iam-7). Este control exige que las contraseñas tengan un mínimo de 8 caracteres. También admite valores personalizados para la longitud de las contraseñas y otros parámetros. El control IAM.7 forma parte del estándar PCI DSS v4.0.1 en el CSPM de Security Hub.

### Corrección
<a name="iam-10-remediation"></a>

Para actualizar su política de contraseñas y usar la configuración recomendada, consulte [Establecer una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*.

## [IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
<a name="iam-11"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.5, NISt.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Categoría:** Proteger - Administración de acceso seguro 

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos una letra mayúscula. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

### Corrección
<a name="iam-11-remediation"></a>

Para cambiar la política de contraseñas, consulte [Configurar una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*. Para lograr una **Contraseña fuerte**, seleccione **Se requiere al menos una letra mayúscula del alfabeto latino (A-Z)**.

## [IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
<a name="iam-12"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.6, NISt.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Categoría:** Proteger - Administración de acceso seguro 

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres. CIS recomienda que la política de contraseñas exija al menos una letra minúscula. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

### Corrección
<a name="iam-12-remediation"></a>

Para cambiar la política de contraseñas, consulte [Configurar una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*. Para lograr una **Contraseña fuerte**, seleccione **Se requiere al menos una letra minúscula del alfabeto latino (A-Z)**.

## [IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
<a name="iam-13"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.7, NISt.800-171.r2 3.5.7

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos un símbolo. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

### Corrección
<a name="iam-13-remediation"></a>

Para cambiar la política de contraseñas, consulte [Configurar una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*. Para la **Seguridad de la contraseña**, seleccione **Requerir al menos un carácter no alfanumérico**.

## [IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
<a name="iam-14"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.8, NISt.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos un número. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

### Corrección
<a name="iam-14-remediation"></a>

Para cambiar la política de contraseñas, consulte [Configurar una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*. Para la **Seguridad de la contraseña**, seleccione **Requerir al menos un número**.

## [IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
<a name="iam-15"></a>

**Requisitos relacionados: CIS Foundations Benchmark v5.0.0/1.7, CIS Foundations Benchmark v3.0.0/1.8, CIS Foundations Benchmark v1.4.0/1.8, CIS Foundations Benchmark v1.2.0/1.9, NIST.800-171.r2 3.5.7** AWS AWS AWS AWS 

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas tengan como mínimo una determinada longitud.

CIS recomienda que la política de contraseñas exija al menos una longitud de contraseña de 14 caracteres. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

### Corrección
<a name="iam-15-remediation"></a>

Para cambiar la política de contraseñas, consulte [Configurar una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*. Para la **Longitud mínima de la contraseña**, introduzca **14** o un número mayor.

## [IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
<a name="iam-16"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.8, CIS AWS Foundations Benchmark v3.0.0/1.9, CIS AWS Foundations Benchmark v1.4.0/1.9, CIS AWS Foundations Benchmark v1.2.0/1.10, NISt.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.7

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** baja

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el número de contraseñas que se deben recordar está establecido en 24. El control falla si el valor no es 24.

Las políticas de contraseñas de IAM pueden evitar la reutilización de una contraseña determinada por el mismo usuario.

CIS recomienda que la política de contraseñas evite la reutilización de contraseñas. Evitar la reutilización de contraseñas de aumenta la resiliencia de la cuenta frente a intentos de inicio de sesión por fuerza bruta.

### Corrección
<a name="iam-16-remediation"></a>

Para cambiar la política de contraseñas, consulte [Configurar una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*. Para **Impedir la reutilización de la contraseña**, introduzca **24**.

## [IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos
<a name="iam-17"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.11, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** baja

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Las políticas de contraseñas de IAM pueden requerir que las contraseñas se roten o que caduquen al cabo de un determinado número de días.

CIS recomienda que la política de contraseñas haga caducar las contraseñas al cabo de 90 días o menos. La reducción de la vida útil de la contraseña aumenta la resiliencia de la cuenta frente a intentos de inicio de sesión por fuerza bruta. Exigir cambios regulares de contraseña también es útil en los siguientes casos:
+ Las contraseñas pueden ser robadas o estar en peligro sin que usted lo sepa. Esto puede ocurrir debido a un sistema amenazado, una vulnerabilidad de software o una amenaza interna.
+ Algunos filtros web corporativas y gubernamentales o servidores proxy puede interceptar y registrar el tráfico incluso si está cifrado.
+ Muchas personas utilizan la misma contraseña para muchos sistemas como, por ejemplo, trabajo, correo electrónico y personal.
+ Algunas estaciones de trabajo de usuarios finales en peligro podrían tener un registrador de combinación de teclas.

### Corrección
<a name="iam-17-remediation"></a>

Para cambiar la política de contraseñas, consulte [Configurar una política de contraseñas de cuentas para los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) en la *Guía del usuario de IAM*. Para **Activar la caducidad de la contraseña**, introduzca **90** o un número menor.

## [IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support
<a name="iam-18"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.16, CIS Foundations Benchmark v3.0.0/1.17, CIS Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20, NIST.800-171.r2 3.1.2, PCI DSS AWS v4.0.1/12.10.3 AWS 

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** baja

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)

**Tipo de programa:** Periódico

**Parámetros:**
+ `policyARN`: `arn:partition:iam::aws:policy/AWSSupportAccess` (no personalizable)
+ `policyUsageType`: `ANY` (no personalizable)

AWS proporciona un centro de soporte que se puede utilizar para la notificación y respuesta a incidentes, así como para el soporte técnico y el servicio de atención al cliente.

Cree un rol de IAM para permitir que los usuarios autorizados administren incidentes con AWS Support. Al implementar los privilegios mínimos para el control de acceso, una función de IAM requerirá una política de IAM adecuada que permita el acceso al centro de soporte con el fin de gestionar los incidentes. Soporte

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-18-remediation"></a>

Para solucionar este problema, cree un rol que permita a los usuarios autorizados administrar incidentes de Soporte .

**Para crear el rol que se usará para el acceso Soporte**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de IAM, elija **Roles** y, a continuación, **Crear rol**.

1. En **Tipo de rol**, elija **Otro Cuenta de AWS**.

1. En el **campo ID de cuenta**, introduzca el Cuenta de AWS ID del usuario Cuenta de AWS al que desea conceder acceso a sus recursos.

   Si los usuarios o grupos que asumirán este rol están en la misma cuenta, introduzca el número de cuenta local.
**nota**  
El administrador de la cuenta especificada puede conceder permiso para asumir este rol a cualquier usuario de en esa cuenta. Para ello, el administrador asocia una política al usuario o grupo que concede permiso para la acción `sts:AssumeRole`. En esa política, el recurso debe ser el ARN del rol.

1. Elija **Siguiente: permisos**.

1. Busque la política administrada `AWSSupportAccess`.

1. Seleccione la casilla de verificación de la política administrada `AWSSupportAccess`.

1. Elija **Siguiente: etiquetas**.

1. (Opcional) Para agregar metadatos al rol, asocie etiquetas como pares clave-valor.

   Para obtener más información sobre el uso de etiquetas en IAM, consulte [Etiquetado de usuarios y roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía del usuario de IAM*.

1. Elija **Siguiente: Revisar**.

1. Escriba un nombre para el rol en **Nombre de rol**.

   Los nombres de los roles deben ser únicos dentro de su Cuenta de AWS. No distinguen entre mayúsculas y minúsculas.

1. (Opcional) En **Descripción del rol**, introduzca una descripción para el nuevo rol.

1. Revise el rol y, a continuación, elija **Create role (Crear rol)**.

## [IAM.19] MFA se debe habilitar para todos los usuarios de IAM
<a name="iam-19"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 (1), NIST.800-53.r5 IA-2 (2), NIST.800-53.r5 IA-2 (6), NIST.800-53.r5 IA-2 (8), NIST.800-53.r5 IA-2 NiSt.800-171.r2 3.3.8, NiSt.800-171.r2 3.5.3, NiSt.800-171.r2 3.7.5, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2 

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::IAM::User`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si los usuarios de IAM tienen habilitada la autenticación multifactor (MFA).

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-19-remediation"></a>

Para añadir MFA a los usuarios de IAM, consulte [Habilitar dispositivos de MFA para los usuarios AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html) en la *Guía del usuario de IAM*.

## [IAM.20] Evite el uso del usuario raíz
<a name="iam-20"></a>

**importante**  
Security Hub CSPM retiró este control en abril de 2024. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).

**Requisitos relacionados:** CIS AWS Foundations Benchmark v1.2.0/1.1

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** baja

**Tipo de recurso:** `AWS::IAM::User`

**AWS Config regla:** `use-of-root-account-test` (regla CSPM de Security Hub personalizada)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si hay restricciones en el uso del usuario root. Cuenta de AWS El control evalúa los siguientes recursos:
+ Temas de Amazon Simple Notification Service (Amazon SNS)
+ AWS CloudTrail senderos
+ Filtros métricos asociados a los CloudTrail senderos
+  CloudWatch Alarmas de Amazon basadas en los filtros

Esta comprobación da como resultado `FAILED` si una o varias de las siguientes afirmaciones son verdaderas:
+ No hay CloudTrail rastros en la cuenta.
+ Una CloudTrail ruta está habilitada, pero no configurada con al menos una ruta multirregional que incluya eventos de administración de lectura y escritura.
+ Una CloudTrail ruta está habilitada, pero no está asociada a un grupo de CloudWatch registros.
+ No se utiliza el filtro métrico exacto prescrito por el Center for Internet Security (CIS). El filtro métrico prescrito es `'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'`.
+ No existe ninguna CloudWatch alarma basada en el filtro de métricas en la cuenta.
+ CloudWatch las alarmas configuradas para enviar notificaciones al tema de SNS asociado no se activan en función del estado de la alarma.
+ El tema de SNS no cumple con las [restricciones para enviar un mensaje a un tema de SNS](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html).
+ El tema de SNS no tiene al menos un suscriptor.

Esta comprobación da como resultado `NO_DATA` si una o más de las siguientes afirmaciones son verdaderas:
+ Una ruta multirregional se basa en una Región diferente. Security Hub CSPM solo puede generar hallazgos en la región en la que se encuentra el registro.
+ Una ruta multirregional pertenece a una cuenta diferente. Security Hub CSPM solo puede generar hallazgos para la cuenta propietaria del rastro.

Esta comprobación da como resultado `WARNING` si una o más de las siguientes afirmaciones son verdaderas:
+ La cuenta corriente no es propietaria del tema de SNS al que se hace referencia en la alarma. CloudWatch 
+ La cuenta actual no tiene acceso al tema de SNS al invocar la API de SNS de `ListSubscriptionsByTopic`.

**nota**  
Recomendamos utilizar los registros de la organización para registrar los eventos de varias cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de CloudTrail administrador delegado. El uso de un registro de la organización da como resultado un estado de control de NO\$1DATA para los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub CSPM solo genera hallazgos para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de CSPM de Security Hub mediante la agregación entre regiones.

Como práctica recomendada, utilice sus credenciales de usuario raíz solo cuando sea necesario para [ realizar tareas de administración de cuentas y servicios](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Aplique políticas de IAM directamente a los grupos y roles, pero no a los usuarios. Para ver las instrucciones sobre cómo configurar un administrador para el uso diario, consulte [Creación del primer grupo y usuario administrador de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) en la *Guía de usuario de IAM*.

### Corrección
<a name="iam-20-remediation"></a>

Los pasos para solucionar este problema incluyen la configuración de un tema de Amazon SNS, CloudTrail una ruta, un filtro de métricas y una alarma para el filtro de métricas.

**Para crear un tema de Amazon SNS**

1. [Abra la consola Amazon SNS en https://console.aws.amazon.com/sns/ la versión 3/home.](https://console.aws.amazon.com/sns/v3/home)

1. Cree un tema de Amazon SNS que reciba todas las alarmas de CIS.

   Cree al menos un suscriptor al tema. Para obtener más información, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) en la *Guía para desarrolladores de Amazon Simple Notification Service*.

A continuación, configure una opción activa CloudTrail que se aplique a todas las regiones. Para ello, siga los pasos de corrección en [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1).

Anote el nombre del grupo de CloudWatch registros que asocie a la CloudTrail ruta. Cree el filtro de métricas en el grupo de registro.

Por último, cree el filtro métrico y la alarma.

**Para crear un filtro de métricas y alarma**

1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, seleccione **Grupos de registro**.

1. Seleccione la casilla de verificación del grupo de CloudWatch registros asociado a la CloudTrail ruta que creó.

1. En **Acciones**, elija **Crear filtro de métricas**.

1. En **Definir patrón**, haga lo siguiente:

   1. Copie el siguiente patrón y, a continuación, péguelo en el campo **Filter Pattern (Patrón de filtros)**.

      ```
      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
      ```

   1. Elija **Siguiente**.

1. En **Asignar métrica**, haga lo siguiente:

   1. En **Nombre de filtro**, escriba un nombre para el filtro de métricas.

   1. En **Espacio de nombres de métrica**, escriba **LogMetrics**.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

   1. Para **Nombre de métrica**, ingrese un nombre para la métrica. Recuerde el nombre de la métrica. Deberá seleccionar la métrica al crear la alarma.

   1. En **Metric Value (Valor de métrica)**, ingrese **1**.

   1. Elija **Siguiente**.

1. En **Revisar y crear**, compruebe la información que proporcionó para el nuevo filtro de métricas. A continuación, elija **Crear filtro de métrica**.

1. En el panel de navegación, elija **Grupos de registros** y, a continuación, elija el filtro que creó en **Filtros métricos**.

1. Seleccione la casilla de verificación del filtro. Elija **Crear alarma**.

1. En **Especificar métrica y condiciones**, realice lo siguiente:

   1. En **Condiciones**, vaya a **Tipo de umbral** y escriba **Estático**.

   1. En **Definir la condición de alarma**, elija **Mayor/Igual**.

   1. En **Definir el valor umbral**, introduzca **1**.

   1. Elija **Siguiente**.

1. En **Configuración de acciones**, haga lo siguiente:

   1. Para **Desencadenador de estado de alarma**, elija **En alarma**.

   1. En **Select an SNS topic**, elija **Select an existing SNS topic**.

   1. En **Enviar notificación a**, introduzca el nombre del tema de SNS que creó en el procedimiento anterior.

   1. Elija **Siguiente**.

1. En **Añadir una descripción**, escriba un **nombre** y la **descripción** de la alarma, como **CIS-1.1-RootAccountUsage**. A continuación, elija **Siguiente**.

1. En **Vista previa y creación**, revise la configuración de la alarma. A continuación, elija **Create Alarm (Crear alarma)**.

## [IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios
<a name="iam-21"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, (10), NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NISt.800-171.r2 3.1.1, NIST.800-53.r5 AC-6 NISt.800-171.r2 3.1.2, NISt.800-171.r2 3.1.5, NISt.800-171.r2 3.1.7, NISt.800-171.r2 3.3.8, NISt.800-171.r2 3.3.8, NISt.800-171.r2 3.3.9, NISt.800.-171.r2 3.13.3, NiSt.800-171.r2 3.13.4

**Categoría:** Detectar > Gestión de acceso seguro 

**Gravedad:** baja

**Tipo de recurso:** `AWS::IAM::Policy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `excludePermissionBoundaryPolicy`: `True` (no personalizable)

Este control comprueba si las políticas de IAM basadas en la identidad que cree incluyen instrucciones de permiso que utilizan el comodín \$1 para conceder permisos para todas las acciones de cualquier servicio. El control falla si alguna declaración de política incluye `"Effect": "Allow"` con `"Action": "Service:*"`. 

Por ejemplo, la siguiente afirmación de una política da como resultado una conclusión fallida.

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}
```

El control también falla si se usa `"Effect": "Allow"` con `"NotAction": "service:*"`. En ese caso, el `NotAction` elemento proporciona acceso a todas las acciones de un Servicio de AWS, excepto a las acciones especificadas en`NotAction`.

Este control solo se aplica a las políticas de IAM administradas por el cliente. No se aplica a las políticas de IAM gestionadas por AWS.

Al asignar permisos a Servicios de AWS, es importante incluir las acciones de IAM permitidas en sus políticas de IAM. Debe restringir las acciones de IAM solo a las acciones que sean necesarias. Esto le ayuda a proporcionar permisos con privilegios mínimos. Las políticas demasiado permisivas pueden provocar una escalada de privilegios si las políticas están vinculadas a un director de IAM que podría no requerir el permiso.

En algunos casos, es posible que desee permitir acciones de IAM que tienen un prefijo similar, como `DescribeFlowLogs` y `DescribeAvailabilityZones`. En estos casos autorizados, puede añadir un comodín con sufijo al prefijo común. Por ejemplo, `ec2:Describe*`.

Este control se activa si utiliza una acción de IAM con un prefijo con un comodín con sufijo. Por ejemplo, la siguiente declaración de una política da como resultado que se aprueba una conclusión.

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}
```

Si agrupa las acciones de IAM relacionadas de esta manera, también puede evitar superar los límites de tamaño de las políticas de IAM.

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-21-remediation"></a>

Para solucionar este problema, actualice sus políticas de IAM para que no permitan todos los privilegios administrativos “\$1”. Para conocer los detalles acerca de cómo editar una política de IAM, consulte [Edición de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) en la *Guía del usuario de IAM*.

## [IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días
<a name="iam-22"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.11, CIS Foundations Benchmark v3.0.0/1.12, CIS AWS Foundations Benchmark v1.4.0/1.12, NIST.800-171.r2 3.1.2 AWS 

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::IAM::User`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)**

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si los usuarios de IAM tienen contraseñas o claves de acceso activas que no se han utilizado durante 45 días o más. Para ello, comprueba si el `maxCredentialUsageAge` parámetro de la AWS Config regla es igual o superior a 45.

Los usuarios pueden acceder a AWS los recursos mediante diferentes tipos de credenciales, como contraseñas o claves de acceso.

CIS recomienda que elimine o desactive todas las credenciales que han dejado de utilizarse durante 45 días o más. Al deshabilitar o eliminar credenciales innecesarias se reduce la oportunidad de que se utilicen credenciales asociadas a una cuenta en peligro o abandonada.

La AWS Config regla para este control utiliza las operaciones [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)y la [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)API, que solo se actualizan cada cuatro horas. Los cambios en los usuarios de IAM pueden tardar hasta cuatro horas en ser visibles para este control.

**nota**  
AWS Config debe estar habilitado en todas las regiones en las que utilice Security Hub CSPM. Sin embargo, puede habilitar el registro de los recursos globales en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

### Corrección
<a name="iam-22-remediation"></a>

Al ver la información del usuario en la consola de IAM, hay columnas para la antigüedad de la **clave de acceso, la antigüedad** de la **Contraseña** y la **Última actividad**. Si el valor en cualquiera de estas columnas es superior a 45 días, desactive las credenciales de esos usuarios.

También puede utilizar los [informes de credenciales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) para monitorizar a los usuarios e identificar a aquellos que no tienen actividad durante 45 días o más. Puede descargar los informes de credenciales en formato `.csv` desde la consola de IAM.

Después de identificar las cuentas inactivas o las credenciales no utilizadas, desactívalas. Para obtener instrucciones, consulte [Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) en la *Guía del usuario de IAM*.

## [IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
<a name="iam-23"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AccessAnalyzer::Analyzer`

**AWS Config regla:** `tagged-accessanalyzer-analyzer` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un analizador gestionado por AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) tiene etiquetas con las claves específicas definidas en el parámetro. `requiredTagKeys` El control lanza error si el analizador no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el analizador no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iam-23-remediation"></a>

Para agregar etiquetas a un analizador, consulte [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html) en la *Referencia de la API del Analizador de acceso de AWS  IAM*.

## [IAM.24] Los roles de IAM deben etiquetarse
<a name="iam-24"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IAM::Role`

**AWS Config regla:** `tagged-iam-role` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un rol AWS Identity and Access Management (de IAM) tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el rol no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el rol no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iam-24-remediation"></a>

Para agregar etiquetas a un rol de IAM, consulte [Etiquetado de recursos de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía del usuario de IAM*.

## [IAM.25] Los usuarios de IAM deben etiquetarse
<a name="iam-25"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IAM::User`

**AWS Config regla:** `tagged-iam-user` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un usuario AWS Identity and Access Management (de IAM) tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el usuario no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el usuario no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iam-25-remediation"></a>

Para agregar etiquetas a un usuario de IAM, consulte [Etiquetado de recursos de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía del usuario de IAM*.

## [IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
<a name="iam-26"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.18, CIS Foundations Benchmark v3.0.0/1.19 AWS 

**Categoría:** Identificar > Cumplimiento

**Gravedad:** media

**Tipo de recurso:** `AWS::IAM::ServerCertificate`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html)**

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Esto controla si un certificado de SSL/TLS servidor activo que se administra en IAM ha caducado. El control falla si no se elimina el certificado de SSL/TLS servidor caducado.

Para habilitar las conexiones HTTPS a tu sitio web o aplicación AWS, necesitas un certificado de SSL/TLS servidor. Puede usar IAM o AWS Certificate Manager (ACM) para almacenar e implementar certificados de servidor. Utilice IAM como administrador de certificados solo cuando deba admitir conexiones HTTPS en un Región de AWS entorno no compatible con ACM. IAM cifra de forma segura sus claves privadas y almacena la versión cifrada en el almacenamiento de certificados SSL de IAM. IAM admite el despliegue de certificados de servidor en todas las regiones, pero debe obtener su certificado de un proveedor externo para poder utilizarlo con ellos. AWS No se puede cargar un certificado de ACM en IAM. Además, no se puede administrar los certificados desde la consola de IAM. Al eliminar SSL/TLS los certificados caducados, se elimina el riesgo de que un certificado no válido se distribuya accidentalmente en un recurso, lo que puede dañar la credibilidad de la aplicación o el sitio web subyacentes.

### Corrección
<a name="iam-26-remediation"></a>

Para eliminar un certificado de servidor de IAM, consulte [Administración de los certificados de servidor en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) en la *Guía del usuario de IAM*.

## [IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
<a name="iam-27"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.21, CIS Foundations Benchmark v3.0.0/1.22 AWS 

**Categoría:** Proteger > Administración de acceso seguro > Políticas de IAM seguras

**Gravedad:** media

**Tipo de recurso:** `AWS::IAM::Role`, `AWS::IAM::User`, `AWS::IAM::Group`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html)**

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ «PolicyArns»: «arn:aws:iam: :aws:» policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess

Este control comprueba si una identidad de IAM (usuario, función o grupo) tiene asociada la política gestionada. AWS `AWSCloudShellFullAccess` El control lanza error si una identidad de IAM tiene la política `AWSCloudShellFullAccess` adjunta.

AWS CloudShell proporciona una forma cómoda de ejecutar comandos CLI contra Servicios de AWS. La política AWS gestionada `AWSCloudShellFullAccess` proporciona acceso total a CloudShell, lo que permite cargar y descargar archivos entre el sistema local del usuario y el CloudShell entorno. Dentro del CloudShell entorno, un usuario tiene permisos de sudo y puede acceder a Internet. Como resultado, adjuntar esta política gestionada a una identidad de IAM les permite instalar software de transferencia de archivos y mover datos desde CloudShell servidores de Internet externos. Recomendamos seguir el principio de privilegio mínimo y adjuntar permisos más limitados a las identidades de IAM.

### Corrección
<a name="iam-27-remediation"></a>

Para desasociar la política `AWSCloudShellFullAccess` de una identidad de IAM, consulte [Cómo agregar y eliminar permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) en la *Guía del usuario de IAM*.

## [IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
<a name="iam-28"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/1.19, CIS Foundations Benchmark v3.0.0/1.20 AWS 

**Categoría:** Detectar > Servicios de detección > Supervisión de uso con privilegios

**Gravedad:** alta

**Tipo de recurso:** `AWS::AccessAnalyzer::Analyzer`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html)**

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un Cuenta de AWS analizador de acceso externo de IAM Access Analyzer está activado. El control lanza error si la cuenta no tiene un analizador de acceso externo habilitado en la Región de AWS seleccionada.

Los analizadores de acceso externo del Analizador de acceso de IAM ayudan a identificar recursos, como buckets de Amazon Simple Storage Service (Amazon S3) o roles de IAM, que se comparten con una entidad externa. De esta manera, se evita el acceso no deseado a los recursos y los datos. El Analizador de acceso de IAM es regional y debe estar habilitado en cada región. Para identificar los recursos que se comparten con entidades externas, un analizador de acceso utiliza un razonamiento basado en la lógica para analizar las políticas basadas en los recursos de su entorno. AWS Cuando crea un analizador de acceso externo, puede crearlo y habilitarlo para toda la organización o para cuentas individuales.

**nota**  
Si una cuenta forma parte de una organización AWS Organizations, este control no tiene en cuenta los analizadores de acceso externos que especifican la organización como zona de confianza y están habilitados para la organización en la región actual. Si la organización usa este tipo de configuración, considere desactivar este control para las cuentas de miembro individuales en la organización en la región.

### Corrección
<a name="iam-28-remediation"></a>

Para obtener información sobre cómo habilitar un analizador de acceso externo en una región específica, consulte tag [Introducción al Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html) en la *Guía del usuario de IAM*. Debe habilitar un analizador en cada región en la que desee supervisar el acceso a sus recursos.

# Controles CSPM de Security Hub para Amazon Inspector
<a name="inspector-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Inspector.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
<a name="inspector-1"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.3.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el EC2 escaneo de Amazon Inspector está activado. En el caso de una cuenta independiente, el control falla si el EC2 escaneo de Amazon Inspector está desactivado en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de administrador de Amazon Inspector delegada y todas las cuentas de los miembros no tienen habilitada la EC2 digitalización.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la función de EC2 escaneo de las cuentas de los miembros de la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera `FAILED` resultados si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la EC2 digitalización de Amazon Inspector. Para recibir un resultado `PASSED`, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.

El EC2 escaneo de Amazon Inspector extrae los metadatos de su instancia de Amazon Elastic Compute Cloud (Amazon EC2) y, a continuación, los compara con las reglas recopiladas en los avisos de seguridad para obtener resultados. Amazon Inspector analiza las instancias en busca de vulnerabilidades en los paquetes y problemas de accesibilidad a la red. Para obtener información sobre los sistemas operativos compatibles, incluido el sistema operativo que se puede escanear sin un agente SSM, consulte [Sistemas operativos compatibles: EC2 digitalización de Amazon](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2).

### Corrección
<a name="inspector-1-remediation"></a>

Para activar el EC2 escaneo de Amazon Inspector, consulte [Activación de escaneos](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) en la *Guía del usuario de Amazon Inspector*.

## [Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
<a name="inspector-2"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/11.3.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si está habilitado el análisis de ECR en Amazon Inspector. En el caso de una cuenta independiente, el control lanza un error si el análisis de ECR en Amazon Inspector está desactivado en la cuenta. En un entorno con varias cuentas, el control lanza un error si ni la cuenta de administrador delegado de Amazon Inspector ni ninguna de las cuentas de los miembros tienen habilitado el análisis de ECR.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la característica de análisis de ECR para las cuentas de los miembros en la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera resultados `FAILED` si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitado el análisis de ECR en Amazon Inspector. Para recibir un resultado `PASSED`, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.

Amazon Inspector analiza las imágenes de contenedores almacenadas en Amazon Elastic Container Registry (Amazon ECR) en busca de vulnerabilidades en el software para generar resultados de vulnerabilidades de paquetes. Al activar los análisis de Amazon Inspector para Amazon ECR, se configura Amazon Inspector como servicio de análisis preferido para su registro privado. Amazon Inspector reemplaza los análisis básicos, que se ofrecen de forma gratuita en Amazon ECR, por análisis mejorados, que se ofrecen y facturan a través de Amazon Inspector. Los análisis mejorados le ofrecen la ventaja de analizar vulnerabilidades tanto de sistemas operativos como de paquetes de lenguajes de programación en el nivel de registro. Puede revisar los resultados descubiertos a partir de análisis mejorados en el nivel de imagen, para cada capa de la imagen, en la consola de Amazon ECR. Además, puedes revisar estos resultados y trabajar con ellos en otros servicios que no están disponibles para los resultados de digitalización básicos, como AWS Security Hub CSPM Amazon EventBridge.

### Corrección
<a name="inspector-2-remediation"></a>

Para habilitar el análisis de ECR en Amazon Inspector, consulte [Activating scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) en la *Guía del usuario de Amazon Inspector*.

## [Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
<a name="inspector-3"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si está habilitado el análisis de código de Lambda en Amazon Inspector. En el caso de una cuenta independiente, el control lanza un error si el análisis de código de Lambda en Amazon Inspector está desactivado en la cuenta. En un entorno de varias cuentas, el control lanza un error si ni la cuenta de administrador delegado de Amazon Inspector ni ninguna de las cuentas de los miembros tienen habilitado el análisis de código de Lambda.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la característica de análisis de código de Lambda para las cuentas de los miembros en la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera resultados `FAILED` si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitado el análisis de códigos de Lambda en Amazon Inspector. Para recibir un resultado `PASSED`, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.

El escaneo de código Lambda de Amazon Inspector analiza el código de la aplicación personalizada dentro de una AWS Lambda función para detectar vulnerabilidades en el código según las prácticas recomendadas AWS de seguridad. El análisis de código de Lambda puede detectar fallos de inyección, fugas de datos, errores de criptografía débil o una falta de cifrado en el código. Esta función [Regiones de AWS solo está disponible de forma específica](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability). Puede activar el análisis de código de Lambda junto al análisis estándar de Lambda (consulte [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](#inspector-4)).

### Corrección
<a name="inspector-3-remediation"></a>

Para habilitar el análisis de código de Lambda en Amazon Inspector, consulte [Activación de análisis](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) en la *Guía del usuario de Amazon Inspector*.

## [Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
<a name="inspector-4"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si está habilitado el análisis estándar de Lambda en Amazon Inspector. En el caso de una cuenta independiente, el control lanza un error si el análisis estándar de Lambda en Amazon Inspector está desactivado en la cuenta. En un entorno de varias cuentas, el control lanza un error si ni la cuenta de administrador delegado de Amazon Inspector ni ninguna de las cuentas de los miembros tienen habilitado el análisis estándar de Lambda.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la característica de análisis estándar de Lambda para las cuentas de los miembros en la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera resultados `FAILED` si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitado el análisis estándar de Lambda en Amazon Inspector. Para recibir un resultado `PASSED`, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.

El escaneo estándar de Amazon Inspector Lambda identifica las vulnerabilidades de software en las dependencias del paquete de aplicaciones que añada al código y las capas de AWS Lambda función. Si Amazon Inspector detecta una vulnerabilidad en las dependencias del paquete de la aplicación de la función de Lambda, Amazon Inspector genera un resultado detallado del tipo `Package Vulnerability`. Puede activar el análisis de código de Lambda junto al análisis estándar de Lambda (consulte [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](#inspector-3)). 

### Corrección
<a name="inspector-4-remediation"></a>

Para habilitar el análisis estándar de Lambda en Amazon Inspector, consulte [Activación de análisis](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) en la *Guía del usuario de Amazon Inspector*.

# Controles CSPM de Security Hub para AWS IoT
<a name="iot-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS IoT servicio y los recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
<a name="iot-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoT::SecurityProfile`

**AWS Config regla:** `tagged-iot-securityprofile` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un perfil de AWS IoT Device Defender seguridad tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si el perfil de seguridad no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el perfil de seguridad no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iot-1-remediation"></a>

*Para añadir etiquetas a un perfil AWS IoT Device Defender de seguridad, consulte [Etiquetar AWS IoT los recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) en la AWS IoT Guía para desarrolladores.*

## [IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
<a name="iot-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoT::MitigationAction`

**AWS Config regla:** `tagged-iot-mitigationaction` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una acción de AWS IoT Core mitigación tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si la acción de mitigación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la acción de mitigación no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iot-2-remediation"></a>

*Para añadir etiquetas a una acción de AWS IoT Core mitigación, consulta Cómo [etiquetar tus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) en la AWS IoT Guía para desarrolladores.*

## AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas
<a name="iot-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoT::Dimension`

**AWS Config regla:** `tagged-iot-dimension` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una AWS IoT Core dimensión tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si la dimensión no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la dimensión no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iot-3-remediation"></a>

*Para añadir etiquetas a una AWS IoT Core dimensión, consulta Cómo [etiquetar tus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) en la AWS IoT Guía para desarrolladores.*

## Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
<a name="iot-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoT::Authorizer`

**AWS Config regla:** `tagged-iot-authorizer` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un AWS IoT Core autorizador tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si el autorizador no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el autorizador no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iot-4-remediation"></a>

*Para añadir etiquetas a un AWS IoT Core autorizador, consulta Cómo [etiquetar tus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) en la Guía para desarrolladores.AWS IoT *

## Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
<a name="iot-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoT::RoleAlias`

**AWS Config regla:** `tagged-iot-rolealias` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si el alias de un AWS IoT Core rol tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si el alias de un rol no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el alias de un rol no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iot-5-remediation"></a>

*Para añadir etiquetas a un alias de AWS IoT Core rol, consulta Cómo [etiquetar tus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) en la AWS IoT Guía para desarrolladores.*

## AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas
<a name="iot-6"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoT::Policy`

**AWS Config regla:** `tagged-iot-policy` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una AWS IoT Core política tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si la política no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la política no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="iot-6-remediation"></a>

*Para añadir etiquetas a una AWS IoT Core política, consulta Cómo [etiquetar tus AWS IoT recursos](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) en la AWS IoT Guía para desarrolladores.*

# Controles CSPM de Security Hub para IoT Events AWS
<a name="iotevents-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de AWS IoT Events.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
<a name="iotevents-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTEvents::Input`

**Regla de AWS Config : ** `iotevents-input-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si una entrada de AWS IoT Events tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la entrada no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la entrada no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotevents-1-remediation"></a>

Para añadir etiquetas a una entrada de AWS IoT Events, consulta Cómo [etiquetar tus AWS IoT Events recursos](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) en la *Guía para AWS IoT Events desarrolladores*.

## [Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
<a name="iotevents-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTEvents::DetectorModel`

**Regla de AWS Config : ** `iotevents-detector-model-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un modelo de detector de AWS IoT Events tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el modelo detector no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el modelo detector no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotevents-2-remediation"></a>

Para añadir etiquetas a un modelo de detector de eventos de AWS IoT, consulta Cómo [etiquetar tus AWS IoT Events recursos](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) en la *Guía para AWS IoT Events desarrolladores*.

## [Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
<a name="iotevents-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTEvents::AlarmModel`

**Regla de AWS Config : ** `iotevents-alarm-model-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un modelo de alarma de AWS IoT Events tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el modelo de alarma no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el modelo de alarma no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotevents-3-remediation"></a>

Para añadir etiquetas a un modelo de alarma de AWS IoT Events, consulta Cómo [etiquetar tus AWS IoT Events recursos](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) en la *Guía para AWS IoT Events desarrolladores*.

# Controles CSPM de Security Hub para IoT AWS SiteWise
<a name="iotsitewise-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el SiteWise servicio y los recursos de AWS IoT.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
<a name="iotsitewise-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTSiteWise::AssetModel`

**Regla de AWS Config : ** `iotsitewise-asset-model-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un modelo de SiteWise activos de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el modelo de activos no tiene ninguna clave de etiqueta o si no incluye todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se especifica el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el modelo de activos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotsitewise-1-remediation"></a>

Para añadir etiquetas a un modelo de SiteWise activos de AWS IoT, consulte [Etiquete sus AWS IoT SiteWise recursos](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) en la *Guía del AWS IoT SiteWise usuario*.

## [Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
<a name="iotsitewise-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTSiteWise::Dashboard`

**Regla de AWS Config : ** `iotsitewise-dashboard-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un SiteWise panel de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el panel no tiene ninguna clave de etiqueta o si no incluye todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el panel no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotsitewise-2-remediation"></a>

Para añadir etiquetas a un SiteWise panel de AWS IoT, consulta Cómo [etiquetar tus AWS IoT SiteWise recursos](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) en la *Guía del AWS IoT SiteWise usuario*.

## [Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
<a name="iotsitewise-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTSiteWise::Gateway`

**Regla de AWS Config : ** `iotsitewise-gateway-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si una SiteWise pasarela de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control lanza error si la puerta de enlace no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la puerta de enlace no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotsitewise-3-remediation"></a>

Para agregar etiquetas a una SiteWise puerta de enlace de AWS IoT, consulte [Etiquete sus AWS IoT SiteWise recursos](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) en la *Guía del AWS IoT SiteWise usuario*.

## [Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
<a name="iotsitewise-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTSiteWise::Portal`

**Regla de AWS Config : ** `iotsitewise-portal-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un SiteWise portal de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el portal no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el portal no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotsitewise-4-remediation"></a>

Para añadir etiquetas a un SiteWise portal de AWS IoT, consulte [Etiquete sus AWS IoT SiteWise recursos](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) en la *Guía del AWS IoT SiteWise usuario*.

## [Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
<a name="iotsitewise-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTSiteWise::Project`

**Regla de AWS Config : ** `iotsitewise-project-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un SiteWise proyecto de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el proyecto no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el proyecto no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotsitewise-5-remediation"></a>

Para añadir etiquetas a un SiteWise proyecto de AWS IoT, consulte [Etiquetar sus AWS IoT SiteWise recursos](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) en la *Guía del AWS IoT SiteWise usuario*.

# Controles CSPM de Security Hub para IoT AWS TwinMaker
<a name="iottwinmaker-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el TwinMaker servicio y los recursos de AWS IoT.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
<a name="iottwinmaker-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTTwinMaker::SyncJob`

**Regla de AWS Config : ** `iottwinmaker-sync-job-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un trabajo de TwinMaker sincronización de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el trabajo de sincronización no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el trabajo de sincronización no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iottwinmaker-1-remediation"></a>

Para añadir etiquetas a un trabajo de TwinMaker sincronización de AWS IoT, consulte [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)la *Guía del AWS IoT TwinMaker usuario*.

## [Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
<a name="iottwinmaker-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTTwinMaker::Workspace`

**Regla de AWS Config : ** `iottwinmaker-workspace-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un TwinMaker espacio de trabajo de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control lanza error si el espacio de trabajo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el espacio de trabajo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iottwinmaker-2-remediation"></a>

Para añadir etiquetas a un espacio de TwinMaker trabajo de AWS IoT, consulte [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)la *Guía del AWS IoT TwinMaker usuario*.

## [Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
<a name="iottwinmaker-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTTwinMaker::Scene`

**Regla de AWS Config : ** `iottwinmaker-scene-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si una TwinMaker escena de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la escena no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la escena no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iottwinmaker-3-remediation"></a>

Para añadir etiquetas a una TwinMaker escena de AWS IoT, consulte [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)la *Guía del AWS IoT TwinMaker usuario*.

## [Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
<a name="iottwinmaker-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTTwinMaker::Entity`

**Regla de AWS Config : ** `iottwinmaker-entity-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si una TwinMaker entidad de AWS IoT tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la entidad no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si el parámetro `requiredKeyTags` no está definido, el control solo verifica la existencia de una clave de etiqueta y falla si la entidad no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iottwinmaker-4-remediation"></a>

Para añadir etiquetas a una TwinMaker entidad de AWS IoT, consulte [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)la *Guía del AWS IoT TwinMaker usuario*.

# Controles CSPM de Security Hub para IoT Wireless AWS
<a name="iotwireless-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de AWS IoT Wireless.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
<a name="iotwireless-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTWireless::MulticastGroup`

**Regla de AWS Config : ** `iotwireless-multicast-group-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un grupo de multidifusión de AWS IoT Wireless tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control lanza un error si el grupo de multidifusión no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de multidifusión no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotwireless-1-remediation"></a>

Para agregar etiquetas a un grupo de multidifusión de AWS IoT Wireless, consulte [Etiquetar sus AWS IoT Wireless recursos en la Guía para AWS IoT Wireless](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) *desarrolladores*.

## [Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
<a name="iotwireless-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTWireless::ServiceProfile`

**Regla de AWS Config : ** `iotwireless-service-profile-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un perfil de servicio AWS IoT Wireless tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si el perfil de servicio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el perfil de servicio no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotwireless-2-remediation"></a>

Para añadir etiquetas a un perfil de servicio de AWS IoT Wireless, consulte [Etiquetar sus AWS IoT Wireless recursos](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) en la *Guía para AWS IoT Wireless desarrolladores*.

## [Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
<a name="iotwireless-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IoTWireless::FuotaTask`

**Regla de AWS Config : ** `iotwireless-fuota-task-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si una tarea de actualización del firmware de AWS IoT Wireless over-the-air (FUOTA) tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la tarea FUOTA no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la tarea FUOTA no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="iotwireless-3-remediation"></a>

Para añadir etiquetas a una tarea FUOTA de AWS IoT Wireless, consulta Cómo [etiquetar tus AWS IoT Wireless recursos en la Guía para AWS IoT Wireless](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) *desarrolladores*.

# Controles CSPM de Security Hub para Amazon IVS
<a name="ivs-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Interactive Video Service (IVS).

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
<a name="ivs-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IVS::PlaybackKeyPair`

**Regla de AWS Config : ** `ivs-playback-key-pair-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un par de claves de reproducción de Amazon IVS tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si el par de claves de reproducción no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y falla si el par de claves de reproducción no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="ivs-1-remediation"></a>

Para agregar etiquetas a un par de claves de reproducción de IVS, consulte [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html) en la *Referencia de la API de Transmisión en tiempo real de Amazon IVS*.

## [IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
<a name="ivs-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IVS::RecordingConfiguration`

**Regla de AWS Config : ** `ivs-recording configuration-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si una configuración de grabación de Amazon IVS tiene etiquetas con claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si la configuración de grabación no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la configuración de grabación no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="ivs-2-remediation"></a>

Para agregar etiquetas a una configuración de grabación de IVS, consulte [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html) en la *Referencia de la API de Transmisión en tiempo real de Amazon IVS*.

## [IVS.3] Los canales de IVS deben estar etiquetados
<a name="ivs-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::IVS::Channel`

**Regla de AWS Config : ** `ivs-channel-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un canal de Amazon IVS tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si el canal no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el canal no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="ivs-3-remediation"></a>

Para agregar etiquetas a un canal de IVS, consulte [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html) en la *Referencia de la API de Transmisión en tiempo real de Amazon IVS*.

# Controles CSPM de Security Hub para Amazon Keyspaces
<a name="keyspaces-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Keyspaces.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
<a name="keyspaces-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Cassandra::Keyspace`

**Regla de AWS Config : ** `cassandra-keyspace-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si un espacio de claves de Amazon Keyspaces tiene etiquetas con las claves específicas definidas en el parámetro `requiredKeyTags`. El control falla si el espacio de claves no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el espacio de claves no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="keyspaces-1-remediation"></a>

Para agregar etiquetas a un espacio de claves de Amazon Keyspaces, consulte [Cómo agregar etiquetas a un espacio de claves](https://docs.aws.amazon.com/keyspaces/latest/devguide/Tagging.Operations.existing.keyspace.html) en la *Guía para desarrolladores de Amazon Keyspaces*.

# Controles CSPM de Security Hub para Kinesis
<a name="kinesis-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Kinesis.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
<a name="kinesis-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::Kinesis::Stream`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno 

Este control comprueba si Kinesis Data Streams está cifrada en reposo con el cifrado del servidor. Este control falla si una transmisión de Kinesis no se cifra en reposo con el cifrado del servidor.

El cifrado del servidor es una característica de Amazon Kinesis Data Streams que cifra automáticamente los datos antes de que estén en reposo mediante un AWS KMS key. Los datos se cifran antes de escribirlos en la capa de almacenamiento del flujo de Kinesis y se descifran después de recuperarlos del almacenamiento. Como resultado, sus datos se cifran en reposo dentro del servicio de Amazon Kinesis Data Streams.

### Corrección
<a name="kinesis-1-remediation"></a>

Para obtener información sobre cómo habilitar el cifrado del servidor para las transmisiones de Kinesis, consulte [¿Cómo puedo empezar con el cifrado del servidor?](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html) en la *Guía para desarrolladores de Amazon Kinesis*.

## [Kinesis.2] Las transmisiones de Kinesis deben etiquetarse
<a name="kinesis-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Kinesis::Stream`

**AWS Config regla:** `tagged-kinesis-stream` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un flujo de datos de Amazon Kinesis tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el flujo de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el flujo de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="kinesis-2-remediation"></a>

Para agregar etiquetas a un flujo de datos de Kinesis, consulte [Etiquetado de flujos de Amazon Kinesis Data Streams](https://docs.aws.amazon.com/streams/latest/dev/tagging.html) en la *Guía para desarrolladores de Amazon Kinesis*.

## [Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
<a name="kinesis-3"></a>

**Gravedad:** media

**Tipo de recurso:** `AWS::Kinesis::Stream`

**Regla de AWS Config: ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  minimumBackupRetentionPeriod  | Cantidad mínima de horas que deben conservarse los datos.  | Cadena  | 24 a 8760  | 168  | 

Este control comprueba si un flujo de datos de Amazon Kinesis tiene un periodo de retención de datos más largo o igual de largo que el periodo especificado. El control lanza un error si el periodo de retención de datos es más corto que el periodo especificado. A menos que proporciones un valor de parámetro personalizado para el período de retención de datos, Security Hub CSPM utiliza un valor predeterminado de 168 horas.

En Kinesis Data Streams, un flujo de datos es una secuencia ordenada de registros de datos que se puede escribir y leer en tiempo real. Los registros de datos se almacenan temporalmente en particiones de su flujo. El periodo de tiempo desde que se agrega un registro hasta que ya no se puede obtener acceso a él se denomina periodo de retención. Kinesis Data Streams hace que los registros más antiguos que el nuevo periodo de retención sean inaccesibles casi inmediatamente después de reducir el periodo de retención. Por ejemplo, cambiar el periodo de retención de 24 horas a 48 horas implica que los registros añadidos a la secuencia 23 horas y 55 minutos antes seguirán estando disponibles después de que hayan transcurrido 24 horas. 

### Corrección
<a name="kinesis-3-remediation"></a>

Para cambiar el periodo de retención de las copias de seguridad de sus flujos de Kinesis Data Streams, consulte [Change the data retention period](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html) en la *Guía para desarrolladores de Amazon Kinesis Data Streams*.

# Controles CSPM de Security Hub para AWS KMS
<a name="kms-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Key Management Service (AWS KMS) servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS
<a name="kms-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::IAM::Policy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** 
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt` (no personalizable)
+ `excludePermissionBoundaryPolicy`: `True` (no personalizable)

Comprueba si la versión predeterminada de las políticas gestionadas por los clientes de IAM permite a los directores utilizar las acciones de AWS KMS descifrado en todos los recursos. El control falla si la política está lo suficientemente abierta como para permitir realizar acciones de `kms:Decrypt` o `kms:ReEncryptFrom` en todas las claves de KMS.

El control solo comprueba las claves de KMS en el elemento Recurso y no tiene en cuenta ningún condicional del elemento Condición de una política. Además, el control evalúa las políticas administradas por el cliente asociadas y no asociadas. No comprueba las políticas integradas ni las políticas gestionadas. AWS 

Con AWS KMS ella, usted controla quién puede usar sus claves KMS y acceder a sus datos cifrados. Las políticas de IAM definen qué acciones puede realizar una identidad (usuario, grupo o rol) en qué recursos. Siguiendo las prácticas recomendadas de seguridad, se AWS recomienda conceder los privilegios mínimos. En otras palabras, debe conceder a las identidades únicamente los permisos `kms:Decrypt` o `kms:ReEncryptFrom` y únicamente para las claves que se requieren para realizar una tarea. De lo contrario, es posible que el usuario utilice claves que no sean adecuadas para sus datos.

En lugar de conceder permisos para todas las claves, determine el conjunto mínimo de claves que los usuarios necesitan para acceder a los datos cifrados. Luego, diseñe políticas que permitan a los usuarios usar solo esas claves. Por ejemplo, no permita permisos de `kms:Decrypt` en todas las claves KMS. En su lugar, permita únicamente `kms:Decrypt` las claves de su cuenta en una región determinada. Al adoptar el principio del privilegio mínimo, puede reducir el riesgo de que sus datos se divulguen de forma no intencionada.

### Corrección
<a name="kms-1-remediation"></a>

Para modificar una política de IAM administrada por el cliente, consulte [Edición de políticas gestionadas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) en la *Guía del usuario de IAM*. Al editar su política, proporcione para el campo `Resource` el nombre de recurso de Amazon (ARN) de la clave o claves específicas en las que desea permitir acciones de descifrado.

## [KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS
<a name="kms-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt` (no personalizable)

Este control comprueba si las políticas integradas en sus identidades de IAM (rol, usuario o grupo) permiten las acciones de AWS KMS descifrado y recrifrado de todas las claves de KMS. El control falla si la política está lo suficientemente abierta como para permitir realizar acciones de `kms:Decrypt` o `kms:ReEncryptFrom` en todas las claves de KMS.

El control solo comprueba las claves de KMS en el elemento Recurso y no tiene en cuenta ningún condicional del elemento Condición de una política.

Con él AWS KMS, usted controla quién puede usar sus claves KMS y acceder a sus datos cifrados. Las políticas de IAM definen qué acciones puede realizar una identidad (usuario, grupo o rol) en qué recursos. Siguiendo las prácticas recomendadas de seguridad, se AWS recomienda conceder los privilegios mínimos. En otras palabras, debe conceder a las identidades únicamente los permisos que necesitan y únicamente para las claves que se requieren para realizar una tarea. De lo contrario, es posible que el usuario utilice claves que no sean adecuadas para sus datos.

En lugar de conceder permisos para todas las claves, determine el conjunto mínimo de claves que los usuarios necesitan para acceder a los datos cifrados. Luego, diseñe políticas que permitan a los usuarios usar solo esas claves. Por ejemplo, no permita permisos de `kms:Decrypt` en todas las claves KMS. En su lugar, conceda el permiso solo a claves específicas de una región específica de su cuenta. Al adoptar el principio del privilegio mínimo, puede reducir el riesgo de que sus datos se divulguen de forma no intencionada.

### Corrección
<a name="kms-2-remediation"></a>

Para modificar una política en línea de IAM, consulte [Edición de políticas en línea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) en la *Guía del usuario de IAM*. Al editar su política, proporcione para el campo `Resource` el nombre de recurso de Amazon (ARN) de la clave o claves específicas en las que desea permitir acciones de descifrado.

## [KMS.3] no AWS KMS keys debe eliminarse involuntariamente
<a name="kms-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-1 2, 2 ( NIST.800-53.r5 SC-12)

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** crítica

**Tipo de recurso:** `AWS::KMS::Key`

**AWS Config regla:** `kms-cmk-not-scheduled-for-deletion-2` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la eliminación de las claves de KMS está programada. El control falla si está programada la eliminación de una clave KMS.

Las claves KMS no se pueden recuperar una vez eliminadas. Los datos cifrados con una clave KMS tampoco se pueden recuperar permanentemente si se elimina la clave KMS. *Si los datos significativos se han cifrado con una clave de KMS cuya eliminación está programada, considere la posibilidad de descifrar los datos o volver a cifrarlos con una nueva clave de KMS, a menos que esté realizando un borrado criptográfico de forma intencionada.*

Cuando se programa la eliminación de una clave de KMS, se aplica un período de espera obligatorio para dar tiempo a revertir la eliminación, en caso de que se haya programado por error. El período de espera predeterminado es de 30 días, pero se puede reducir a tan solo 7 días si está programada la eliminación de la clave KMS. Durante el período de espera, se puede cancelar la eliminación programada y no se eliminará la clave KMS.

Para obtener información adicional sobre la eliminación de claves de KMS, consulte [Eliminar claves de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) en la *Guía para desarrolladores de AWS Key Management Service *.

### Corrección
<a name="kms-3-remediation"></a>

Para cancelar una eliminación de claves de KMS programada, consulte **Para cancelar la eliminación de claves** en [Programación y cancelación de la eliminación de claves (consola)](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console) de la *Guía para desarrolladores de AWS Key Management Service *.

## La rotación de AWS KMS claves [KMS.4] debe estar habilitada
<a name="kms-4"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.6, CIS Foundations Benchmark v3.0.0/3.6, CIS AWS Foundations Benchmark v1.4.0/3.8, CIS AWS Foundations Benchmark v1.2.0/2.8, 2, 2 ( NIST.800-53.r5 SC-12), 8 (3), PCI AWS DSS v3.2.1/3.6.4, PCI DSS v4.0.1/3.7.4 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::KMS::Key`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

AWS KMS permite a los clientes girar la clave de respaldo, que es el material clave almacenado AWS KMS y vinculado al ID de clave de la clave KMS. Es la clave de backup que se utiliza para realizar operaciones criptográficas como, por ejemplo, cifrado y descifrado. Actualmente, la rotación de claves automática retiene todas las claves de backup anteriores, por lo que el descifrado de los datos cifrado se puede realizar de forma transparente.

CIS recomienda que habilite la rotación de claves de KMS. La rotación de claves de cifrado ayuda a reducir el impacto potencial de una clave en peligro porque los datos cifrados con una nueva clave no son accesibles con un clave anterior que se haya visto expuesta.

### Corrección
<a name="kms-4-remediation"></a>

Para habilitar la rotación de claves de KMS, consulte [Cómo habilitar y deshabilitar la rotación automática de claves](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable) en la *Guía para desarrolladores de AWS Key Management Service *.

## [KMS.5] Las claves KMS no deben ser de acceso público
<a name="kms-5"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::KMS::Key`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una AWS KMS key es de acceso público. El control falla si se puede acceder de manera pública a la clave de KMS.

La implementación del acceso con privilegios mínimos es esencial a la hora de reducir los riesgos de seguridad y el impacto de los errores o intentos malintencionados. Si la política de claves de a AWS KMS key permite el acceso desde cuentas externas, es posible que terceros puedan cifrar y descifrar los datos con la clave. Esto podría provocar que una amenaza interna o externa extraiga datos del usuario Servicios de AWS que utilice la clave.

**nota**  
Este control también indica AWS KMS key si las configuraciones AWS Config impiden registrar la política clave en el elemento de configuración (CI) de la clave KMS. `FAILED` AWS Config Para completar la política clave en el CI para la clave de KMS, el [AWS Config rol](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html#gs-cli-create-iamrole) debe tener acceso para leer la política clave mediante la llamada a la [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)API. Para resolver este tipo de problema`FAILED`, compruebe las políticas que pueden impedir que el AWS Config rol tenga acceso de lectura a la política clave de la clave de KMS. Por ejemplo, revise lo siguiente:  
La política de claves de la clave de KMS.
[Las políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) y [las políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) AWS Organizations que se aplican a tu cuenta.
Permisos para el AWS Config rol, si no está utilizando el rol [AWS Config vinculado al servicio](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Además, este control no evalúa condiciones de políticas que utilicen caracteres comodín o variables. Para producir un resultado `PASSED`, las condiciones en la política de claves deben usar únicamente valores fijos, que son valores que no contienen caracteres comodín ni variables de políticas. Para obtener información sobre variables de políticas, consulte [Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de AWS Identity and Access Management *.

### Corrección
<a name="kms-5-remediation"></a>

Para obtener información sobre cómo actualizar la política clave de un usuario AWS KMS key, consulte [las políticas clave AWS KMS en](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-overview) la Guía para *AWS Key Management Service desarrolladores*.

# Controles CSPM de Security Hub para AWS Lambda
<a name="lambda-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Lambda servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
<a name="lambda-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/7.2.1, PCI DSS v4.0.1/7.2.1 NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica

**Tipo de recurso:** `AWS::Lambda::Function`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la política basada en recursos de la función de Lambda prohíbe el acceso público a la cuenta. El control falla si se permite el acceso público. El control también falla si se invoca una función de Lambda desde Amazon S3 y la política no incluye una condición para limitar el acceso público, como por ejemplo `AWS:SourceAccount`. Le recomendamos que utilice otras condiciones de S3 junto con `AWS:SourceAccount` en su política de bucket para obtener un acceso más preciso.

**nota**  
Este control no evalúa condiciones de políticas que utilicen caracteres comodín o variables. Para producir un resultado `PASSED`, las condiciones en la política de la función de Lambda deben usar únicamente valores fijos, que son valores que no contienen caracteres comodín ni variables de políticas. Para obtener información sobre variables de políticas, consulte [Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de AWS Identity and Access Management *.

La función de Lambda no debe ser accesible públicamente, ya que puede permitir el acceso involuntario al código que tenga almacenado en la característica.

### Corrección
<a name="lambda-1-remediation"></a>

Para solucionar este problema, debe actualizar la política basada en los recursos de su característica para eliminar los permisos o añadir la condición de `AWS:SourceAccount`. Solo puede actualizar la política basada en recursos desde la API Lambda o. AWS CLI

Para empezar, [revise la política basada en recursos de la](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) consola Lambda. Identifique la declaración de política que tiene valores de campo `Principal` que hacen que la política sea pública, como `"*"` o `{ "AWS": "*" }`.

No puede editar la política desde la consola. Para eliminar los permisos de la característica, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html) desde AWS CLI.

```
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
```

Sustituya `<function-name>` por el nombre de la función de Lambda y `<statement-id>` con el identificador de la sentencia (`Sid`) que desee eliminar.

## [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos
<a name="lambda-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 SI-2, NiSt.800-53.r5 SI-2 (2), NiSt.800-53.r5 SI-2 (4), NiSt.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4

**Categoría:** Proteger - Desarrollo seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::Lambda::Function`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** 
+ `runtime`: `dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3` (no personalizable)

Este control comprueba si la configuración del tiempo de ejecución de la AWS Lambda función coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. El control falla si la función de Lambda no utiliza un tiempo de ejecución compatible, tal como se indicó en la sección Parámetros. Security Hub CSPM ignora las funciones que tienen un tipo de paquete de. `Image`

Los Tiempos de ejecución de Lambda se crean a partir de una combinación de sistema operativo, lenguaje de programación y bibliotecas de software, todos ellos sujetos a operaciones de mantenimiento y actualizaciones de seguridad. Cuando un componente de un tiempo de ejecución deja de recibir actualizaciones de seguridad, Lambda descarta el tiempo de ejecución. Aunque no puede crear funciones que utilicen el tiempo de ejecución obsoleto, la función sigue estando disponible para procesar eventos de invocación. Recomendamos comprobar que sus funciones de Lambda sean actuales y que no utilicen entornos de tiempo de ejecución obsoletos. Para obtener una lista de los tiempos de ejecución compatibles, consulte los [tiempos de ejecución de Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html) en la *Guía para desarrolladores de AWS Lambda *.

### Corrección
<a name="lambda-2-remediation"></a>

Para obtener más información sobre los tiempos de ejecución compatibles y los programas de obsolescencia, consulte la [Política de obsolescencia del tiempo de ejecución](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html) en la *Guía para desarrolladores de AWS Lambda *. Cuando migre los tiempos de ejecución a la versión más reciente, siga la sintaxis y las instrucciones de los editores del lenguaje. También recomendamos implementar [actualizaciones del tiempo de ejecución](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls) para ayudar a reducir el riesgo de que las cargas de trabajo se vean afectadas en el caso de que se produzca una incompatibilidad entre las versiones en el tiempo de ejecución.

## [Lambda.3] Las funciones de Lambda deben estar en una VPC
<a name="lambda-3"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** baja

**Tipo de recurso:** `AWS::Lambda::Function`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)** 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si se implementó una función de Lambda en una nube privada virtual (VPC). El control falla si no se implementa la función de Lambda en una VPC. El CSPM de Security Hub no evalúa la configuración de enrutamiento de subred de la VPC para determinar la accesibilidad pública. Es posible que vea resultados erróneos en los recursos de Lambda @Edge.

La implementación de recursos en una VPC refuerza la seguridad y el control de las configuraciones de red. Estas implementaciones también ofrecen escalabilidad y una alta tolerancia a los errores en varias zonas de disponibilidad. Puede personalizar las implementaciones de VPC para cumplir con los diversos requisitos de las aplicaciones.

### Corrección
<a name="lambda-3-remediation"></a>

Para configurar una característica existente para conectarse a subredes privadas de su VPC, [consulte ](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring)Configuración del acceso a la VPC* en la Guía para desarrolladores de AWS Lambda *. Recomendamos elegir al menos dos subredes privadas para una alta disponibilidad y al menos un grupo de seguridad que cumpla con los requisitos de conectividad de la característica.

## [Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
<a name="lambda-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::Lambda::Function`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `availabilityZones`  |  Cantidad mínima de zonas de disponibilidad  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Este control comprueba si una AWS Lambda función que se conecta a una nube privada virtual (VPC) funciona al menos en el número especificado de zonas de disponibilidad (AZs). El control falla si la función no funciona al menos en el número especificado de AZs. A menos que proporcione un valor de parámetro personalizado para el número mínimo de AZs, el CSPM de Security Hub utiliza un valor predeterminado de dos. AZs

La implementación de recursos en varios AZs es una práctica AWS recomendada para garantizar una alta disponibilidad en su arquitectura. La disponibilidad es un pilar fundamental del modelo de seguridad de la tríada de confidencialidad, integridad y disponibilidad. Todas las funciones de Lambda que se conectan a una VPC deben tener una implementación multi-AZ para garantizar que una sola zona de error no provoque una interrupción total de las operaciones.

### Corrección
<a name="lambda-5-remediation"></a>

Si configura la función para conectarse a una VPC de su cuenta, especifique las subredes en varias AZs para garantizar una alta disponibilidad. Para obtener instrucciones, consulte [Configuración del acceso a la VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) en la *Guía para desarrolladores de AWS Lambda *.

Lambda ejecuta automáticamente otras funciones de forma múltiple AZs para garantizar que esté disponible para procesar eventos en caso de una interrupción del servicio en una sola zona.

## [Lambda.6] Las funciones de Lambda deben estar etiquetadas
<a name="lambda-6"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Lambda::Function`

**AWS Config regla:** `tagged-lambda-function` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una AWS Lambda función tiene etiquetas con las teclas específicas definidas en el parámetro`requiredTagKeys`. El control falla si la función no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si la función no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.

### Corrección
<a name="lambda-6-remediation"></a>

Para agregar etiquetas a una función de Lambda, consulte [Uso de etiquetas en funciones de Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html) en la *Guía para desarrolladores de AWS Lambda *.

## [Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
<a name="lambda-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** baja

**Tipo de recurso:** `AWS::Lambda::Function`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el rastreo activo con AWS X-Ray está activado para una AWS Lambda función. El control falla si el rastreo activo con X-Ray está desactivado para la función de Lambda.

AWS X-Ray puede proporcionar capacidades de seguimiento y supervisión de las AWS Lambda funciones, lo que puede ahorrar tiempo y esfuerzo en la depuración y el funcionamiento de las funciones Lambda. Puede ayudar a diagnosticar errores e identificar cuellos de botella de rendimiento, ralentizaciones y tiempos de espera mediante un desglose detallado de la latencia de las funciones de Lambda. También puede contribuir al cumplimiento de los requisitos de privacidad y protección de los datos. Si habilita el rastreo activo para una función de Lambda, X-Ray ofrece una visión integral del flujo y procesamiento de datos dentro de la función, lo que puede ayudar a identificar posibles vulnerabilidades de seguridad o prácticas de manejo de datos que no cumplan los requisitos. Esta visibilidad contribuye a mantener la integridad y la confidencialidad de los datos, así como el cumplimiento de las normas pertinentes.

**nota**  
AWS X-Ray Actualmente, el rastreo no es compatible con las funciones de Lambda con Amazon Managed Streaming for Apache Kafka (Amazon MSK), Apache Kafka autogestionado, Amazon MQ con ActiveMQ y RabbitMQ o las asignaciones de fuentes de eventos de Amazon DocumentDB.

### Corrección
<a name="lambda-7-remediation"></a>

*Para obtener información sobre cómo habilitar el seguimiento activo para una AWS Lambda función, consulte [Visualización de las invocaciones de funciones Lambda](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html) en AWS Lambda la Guía para AWS X-Ray desarrolladores.*

# Controles CSPM de Security Hub para Macie
<a name="macie-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio Amazon Macie.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Macie.1] Amazon Macie debe estar habilitado
<a name="macie-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CA-7, NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIst.800-53.R5 SI-4

**Categoría:** Detectar - Servicios de detección

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html)

**Tipo de programa:** Periódico

Este control comprueba si Amazon Macie está habilitado para una cuenta. Se produce un error en el control si Macie no está habilitado para la cuenta.

Amazon Macie detecta datos confidenciales mediante el machine learning y la coincidencia de patrones, proporciona visibilidad de los riesgos de seguridad de los datos y permite establecer una protección automatizada contra esos riesgos. Macie evalúa de manera automática y continua los buckets de Amazon Simple Storage Service (Amazon S3) para garantizar la seguridad y el control de acceso, y genera resultados para notificarle posibles problemas con la seguridad o la privacidad de los datos de Amazon S3. Macie también detecta y notifica de manera automática los datos confidenciales, como información de identificación personal (PII), para proporcionarle una mejor comprensión de los datos que almacena en Amazon S3. Para más información, consulte la [https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html).

### Corrección
<a name="macie-1-remediation"></a>

Para habilitar Macie, consulte [Habilitación de Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html#enable-macie) en la *Guía del usuario de Amazon Macie*.

## [Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
<a name="macie-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1), (19), NIst.800-53.r5 SI-4 NIST.800-53.r5 RA-5 NIST.800-53.r5 SA-8

**Categoría:** Detectar - Servicios de detección

**Gravedad:** alta

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html)

**Tipo de programa:** Periódico

Este control comprueba si la detección automática de datos confidenciales está habilitada en una cuenta de administrador de Amazon Macie. Se produce un error en el control si la detección automática de datos confidenciales no está habilitada en una cuenta de administrador de Macie. Este control solo se aplica a las cuentas de administrador.

Macie detecta y notifica de manera automática los datos confidenciales, como información de identificación personal (PII), en buckets de Amazon Simple Storage Service (Amazon S3). Gracias a la detección automática de datos confidenciales, Macie evalúa continuamente su inventario de buckets y utiliza técnicas de muestreo para identificar y seleccionar los objetos de S3 representativos de sus buckets. A continuación, Macie analiza los objetos seleccionados en busca de datos confidenciales. A medida que el análisis avanza, Macie actualiza las estadísticas, los datos de inventario y demás información que proporciona sobre sus datos en S3. Macie también genera resultados para informar sobre los datos confidenciales que encuentra.

### Corrección
<a name="macie-2-remediation"></a>

Para crear y configurar trabajos automáticos de descubrimiento de datos confidenciales para analizar objetos en buckets de S3, consulte [Configuring automated sensitive data discovery for your account](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html) en la *Guía del usuario de Amazon Macie.*

# Controles de CSPM de Security Hub para Amazon MSK
<a name="msk-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Managed Streaming for Apache Kafka (Amazon MSK). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
<a name="msk-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-1 3 NIST.800-53.r5 AC-4, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::MSK::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon MSK está cifrado en tránsito con HTTPS (TLS) entre los nodos intermediarios del clúster. El control falla si la comunicación de texto sin formato está habilitada para una conexión de nodo intermediario del clúster.

HTTPS ofrece un nivel de seguridad adicional, ya que utiliza el TLS para mover los datos y se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. De forma predeterminada, Amazon MSK cifra los datos en tránsito con TLS. Sin embardo, puede anular este valor predeterminado en el momento en que cree el clúster. Recomendamos utilizar conexiones cifradas a través de HTTPS (TLS) para las conexiones de nodos intermediarios.

### Corrección
<a name="msk-1-remediation"></a>

Para obtener información sobre cómo actualizar la configuración de cifrado de un clúster de Amazon MSK, consulte [Actualización de la configuración de seguridad de un clúster](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) en la *Guía para desarrolladores de Amazon Managed Streaming para Apache Kafka*.

## [MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
<a name="msk-2"></a>

**Requisitos relacionados**: NIST.800-53.r5 SI-2 NIST.800-53.r5 CA-7

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::MSK::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon MSK tiene configurada la supervisión mejorada, especificada mediante un nivel de supervisión de al menos `PER_TOPIC_PER_BROKER`. Se produce un error en el control si el nivel de supervisión del clúster está establecido en `DEFAULT` o `PER_BROKER`.

El nivel de supervisión `PER_TOPIC_PER_BROKER` proporciona información más detallada sobre el rendimiento del clúster de MSK y también proporciona métricas relacionadas con el uso de los recursos, como el uso de la CPU y la memoria. Esto ayuda a identificar los cuellos de botella en el rendimiento y los patrones de uso de los recursos para temas y agentes individuales. Esta visibilidad, a su vez, puede optimizar el rendimiento de sus agentes de Kafka.

### Corrección
<a name="msk-2-remediation"></a>

Para configurar la supervisión mejorada para un clúster de MSK, haga lo siguiente:

1. ¿Abrir la consola Amazon MSK en [https://console.aws.amazon.com/msk/casa? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).

1. En el panel de navegación, seleccione **Clusters (Clústeres)**. A continuación, elija una etiqueta de clúster.

1. En **Acción**, seleccione **Editar supervisión**.

1. Seleccione la opción **Supervisión mejorada a nivel de tema**.

1. Seleccione **Save changes (Guardar cambios)**.

Para obtener más información sobre los niveles de monitoreo, consulte [las métricas de Amazon MSK para monitorear a los corredores estándar CloudWatch](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html) en la Guía para desarrolladores de *Amazon Managed Streaming for Apache Kafka*.

## [MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
<a name="msk-3"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/4.2.1

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::KafkaConnect::Connector`

**AWS Config regla:** `msk-connect-connector-encrypted` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un conector Amazon MSK Connect está cifrado en tránsito. Este control falla si el conector no está cifrado en tránsito.

Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.

### Corrección
<a name="msk-3-remediation"></a>

Puede habilitar el cifrado en tránsito cuando crea un conector MSK Connect. No puede cambiar la configuración de cifrado después de crear un conector. Para obtener más información, consulte [Crear un conector](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html) en la *Guía para desarrolladores de Amazon Managed Streaming para Apache Kafka*.

## [MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
<a name="msk-4"></a>

**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::MSK::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica que el acceso público esté desactivado para un clúster de Amazon MSK. El control falla si el acceso público está habilitado para el clúster de MSK.

De forma predeterminada, los clientes solo pueden acceder a un clúster de Amazon MSK cuando se encuentran en la misma VPC que el clúster. Toda la comunicación entre clientes de Kafka y un clúster de MSK es privada de forma predeterminada, y los datos de streaming no atraviesan Internet. Sin embargo, si un clúster de MSK está configurado para permitir acceso público, cualquier persona en Internet puede establecer una conexión con los agentes de Apache Kafka que se ejecutan dentro del clúster. Esto puede provocar problemas como acceso no autorizado, filtraciones de datos o explotación de vulnerabilidades. Si restringe el acceso a un clúster mediante medidas de autenticación y autorización, puede ayudar a proteger información confidencial y mantener la integridad de los recursos.

### Corrección
<a name="msk-4-remediation"></a>

Para obtener información sobre cómo administrar el acceso público a un clúster de Amazon MSK, consulte [Activación del acceso público para un clúster aprovisionado de MSK](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html) en la *Guía del desarrollador de Amazon Managed Streaming para Apache Kafka*.

## [MSK.5] Los conectores de MSK deben tener el registro habilitado
<a name="msk-5"></a>

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::KafkaConnect::Connector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si el registro está habilitado para un conector de Amazon MSK. El control falla si el registro está desactivado para el conector de MSK.

Los conectores de Amazon MSK integran sistemas externos y servicios de Amazon con Apache Kafka mediante la copia continua de datos en streaming desde un origen de datos a un clúster de Apache Kafka, o mediante la copia continua de datos desde un clúster hacia un receptor de datos. MSK Connect puede generar eventos de registro que ayudan a depurar un conector. Al crear un conector, puede especificar cero o más de los siguientes destinos de registro: Amazon CloudWatch Logs, Amazon S3 y Amazon Data Firehose.

**nota**  
Los valores de configuración confidenciales pueden aparecer en los registros de los conectores si un complemento no los define como secretos. Kafka Connect trata los valores de configuración indefinidos de la misma manera que cualquier otro valor de texto sin formato.

### Corrección
<a name="msk-5-remediation"></a>

Para habilitar el registro en un conector de Amazon MSK existente, debe volver a crear el conector con la configuración de registro correspondiente. Para obtener información sobre las opciones de configuración, consulte [Registro para MSK Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) en la *Guía del desarrollador de Amazon Managed Streaming para Apache Kafka*.

## [MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
<a name="msk-6"></a>

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** media

**Tipo de recurso:** `AWS::MSK::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el acceso sin autenticación está desactivado para un clúster de Amazon MSK. El control falla si el acceso sin autenticación está habilitado para el clúster de MSK.

Amazon MSK admite mecanismos de autenticación y autorización para controlar el acceso a un clúster. Estos mecanismos verifican la identidad de los clientes que se conectan al clúster y determinan qué acciones pueden realizar. Un clúster de MSK se puede configurar para permitir acceso sin autenticación, lo que posibilita que cualquier cliente con conectividad de red publique y se suscriba a temas de Kafka sin proporcionar credenciales. Ejecutar un clúster de MSK sin exigir autenticación infringe el principio de privilegio mínimo y puede exponer el clúster a accesos no autorizados. Esto permite que cualquier cliente acceda, modifique o elimine datos en los temas de Kafka, lo que puede provocar filtraciones de datos, modificaciones no autorizadas o interrupciones del servicio. Recomendamos habilitar mecanismos de autenticación como la autenticación mediante IAM, SASL/SCRAM o TLS mutuo para garantizar un control de acceso adecuado y mantener el cumplimiento de seguridad.

### Corrección
<a name="msk-6-remediation"></a>

Para obtener información sobre cómo cambiar la configuración de autenticación de un clúster de Amazon MSK, consulte las siguientes secciones de la Guía para *desarrolladores de Amazon Managed Streaming for Apache Kafka*[: Actualización de la configuración de seguridad de un clúster de Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) [y Autenticación y autorización](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html) para Apache Kafka. APIs

# Controles de CSPM de Security Hub para Amazon MQ
<a name="mq-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon MQ. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
<a name="mq-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-12, NIST.800-53.r5 SI-4, PCI DSS v4.0.1/10.3.3

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un bróker ActiveMQ de Amazon MQ transmite los registros de auditoría a Amazon Logs. CloudWatch El control falla si el agente no transmite los registros de auditoría a Logs. CloudWatch 

Al publicar los registros de ActiveMQ Broker en Logs CloudWatch , puede CloudWatch crear alarmas y métricas que aumenten la visibilidad de la información relacionada con la seguridad.

### Corrección
<a name="mq-2-remediation"></a>

*Para transmitir los registros de los corredores de ActiveMQ CloudWatch a los registros, consulte Configuración de [Amazon MQ para los registros de ActiveMQ en la Guía para desarrolladores de Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html).*

## [MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias
<a name="mq-3"></a>

**importante**  
Security Hub CSPM retiró este control en enero de 2026. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un agente de Amazon MQ tiene habilitada la actualización automática de las versiones secundarias. El control falla si el agente no tiene habilitada la actualización automática de las versiones secundarias.

A medida que Amazon MQ publique y admita las nuevas versiones del motor del agente, los cambios son compatibles con versiones anteriores de una aplicación existente y no dan de baja las funciones existentes. Las actualizaciones automáticas de las versiones del motor del agente lo protegen contra los riesgos de seguridad, ayudan a corregir errores y mejoran la funcionalidad.

**nota**  
Si el agente asociado a la actualización automática de una versión secundaria utiliza el parche más reciente y deja de ser compatible, debe tomar medidas manuales para hacer la actualización.

### Corrección
<a name="mq-3-remediation"></a>

Para habilitar la actualización automática de la versión secundaria para un agente de MQ, consulte [Automatically upgrading the minor engine version](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html) en la *Guía para desarrolladores de Amazon MQ*.

## [MQ.4] Los agentes de Amazon MQ deben estar etiquetados
<a name="mq-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**AWS Config regla:** `tagged-amazonmq-broker` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un agente de Amazon MQ tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el agente no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el agente no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="mq-4-remediation"></a>

Para agregar etiquetas a un agente de Amazon MQ, consulte [Etiquetado de recursos](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html) en la *Guía para desarrolladores de Amazon MQ*.

## [MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
<a name="mq-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), niST.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** baja

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el modo de implementación de un broker ActiveMQ de Amazon MQ está configurado como activo/en espera. El control falla si se establece un corredor de instancia única (habilitado de forma predeterminada) como modo de implementación.

La implementación activa/en espera proporciona una alta disponibilidad para sus corredores ActiveMQ de Amazon MQ en una Región de AWS. El modo de implementación activo/en espera incluye dos instancias de agente en dos zonas de disponibilidad diferentes, configuradas en un par redundante. Estos agentes se comunican de forma sincrónica con la aplicación, lo que puede reducir el tiempo de inactividad y la pérdida de datos en caso de que se produzca un error.

### Corrección
<a name="mq-5-remediation"></a>

*Para crear un agente ActiveMQ nuevo active/standby con modo de despliegue, [consulte Creación y configuración de un agente ActiveMQ en la Guía para desarrolladores de Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html).* En **Modo de implementación**, elija **Agente activo/en espera**. No se puede cambiar el modo de implementación de un broker ya existente. En su lugar, debe crear un nuevo corredor y copiar la configuración del corredor anterior.

## [MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
<a name="mq-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** baja

**Tipo de recurso:** `AWS::AmazonMQ::Broker`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el modo de implementación de un bróker RabbitMQ de Amazon MQ está configurado para la implementación en clúster. El control falla si se establece un corredor de instancia única (habilitado de forma predeterminada) como modo de implementación.

La implementación de clústeres proporciona una alta disponibilidad para sus corredores de Amazon MQ RabbitMQ en una Región de AWS. La implementación del clúster es una agrupación lógica de tres nodos de agente de RabbitMQ, cada uno con su propio volumen de Amazon Elastic Block Store (Amazon EBS) y un estado compartido. La implementación del clúster garantiza que los datos se repliquen en todos los nodos del clúster, lo que puede reducir el tiempo de inactividad y la pérdida de datos en caso de error.

### Corrección
<a name="mq-6-remediation"></a>

Para crear un nuevo bróker de RabbitMQ con el modo de implementación de clústeres, consulte [Creación y conexión a un bróker de RabbitMQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html) en la *Guía para desarrolladores de Amazon MQ*. Para el **Modo de implementación**, elija **Implementación en clúster**. No se puede cambiar el modo de implementación de un broker ya existente. En su lugar, debe crear un nuevo corredor y copiar la configuración del corredor anterior.

# Controles CSPM de Security Hub para Neptune
<a name="neptune-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Neptune.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
<a name="neptune-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Neptune está cifrado en reposo. El control falla si un clúster de base de datos de Neptune no está cifrado en reposo.

Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado pueda acceder a ellos. El cifrado de sus clústeres de bases de datos de Neptune protege sus datos y metadatos contra el acceso no autorizado. También cumple con los requisitos de conformidad para el data-at-rest cifrado de los sistemas de archivos de producción.

### Corrección
<a name="neptune-1-remediation"></a>

Puede habilitar el cifrado en reposo al crear un clúster de base de datos de Neptune. No se puede cambiar la configuración de cifrado después de crear un clúster. Para obtener más información, consulte [Cifrar los recursos inactivos de Neptuno](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html) en la *Guía del usuario de Neptuno*.

## [Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch
<a name="neptune-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 NIst.800-53.r5 SI-20, niST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), niST.800-53.r5 SI-4 (20), niST.800-53.r5 SI-4 (5), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/0.1/103,3

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Neptune publica registros de auditoría en Amazon CloudWatch Logs. El control falla si un clúster de base de datos de Neptune no publica los registros de auditoría en Logs. CloudWatch `EnableCloudWatchLogsExport`debe estar configurado en. `Audit`

Amazon Neptune y Amazon CloudWatch están integrados para que pueda recopilar y analizar métricas de rendimiento. Neptune envía automáticamente las métricas a las alarmas CloudWatch y también las admite CloudWatch . Los registros de auditoría son altamente personalizables. Al auditar una base de datos, cada operación realizada con los datos se puede supervisar y registrar en un registro de auditoría que incluye información sobre el clúster de base de datos al que se accede y cómo se accede. Le recomendamos que envíe estos registros para ayudarle CloudWatch a supervisar sus clústeres de base de datos de Neptune.

### Corrección
<a name="neptune-2-remediation"></a>

*Para publicar registros de auditoría de Neptune en Logs, consulte Publicar CloudWatch registros de [Neptuno CloudWatch en Amazon Logs en](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html) la Guía del usuario de Neptune.* En la sección **Exportaciones de registros**, elija **Auditar**.

## [Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
<a name="neptune-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instantánea de un clúster de base de datos manual de Neptune es pública. El control falla si una instantánea manual del clúster de base de datos de Neptune es pública.

Una instantánea manual de un clúster de base de datos de Neptune no debe ser pública a menos que se pretenda. Si comparte una instantánea manual sin cifrar públicamente, la instantánea estará disponible para todo Cuentas de AWS. Las instantáneas públicas pueden provocar una exposición no intencionada de los datos.

### Corrección
<a name="neptune-3-remediation"></a>

Para eliminar el acceso público a las instantáneas de clústeres de bases de datos manuales de Neptuno, consulte [Compartir una instantánea de clúster de base de datos](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html) en la *Guía del usuario de Neptune*.

## [Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación
<a name="neptune-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Neptune tiene habilitada la protección contra eliminación. El control falla si un clúster de base de datos de Neptune no tiene habilitada la protección contra eliminación.

La activación de la protección contra la eliminación de clústeres ofrece un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de un usuario no autorizado. Un clúster de Neptune DB no se puede eliminar mientras está habilitada la protección contra eliminación. Primero debe deshabilitar la protección contra la eliminación para que la solicitud de eliminación se pueda realizar correctamente.

### Corrección
<a name="neptune-4-remediation"></a>

Para habilitar la protección contra la eliminación de un clúster de base de datos de Neptune existente, consulte [Modificación del clúster de base de datos mediante la consola, la CLI y la API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings) en la *Guía del usuario de Amazon Aurora*.

## [Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas
<a name="neptune-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-12

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  El periodo mínimo de retención de copias de seguridad en días  |  Entero  |  De `7` a `35`  |  `7`  | 

Este control comprueba si un clúster de base de datos de Neptune tiene las copias de seguridad automáticas habilitadas y un periodo de retención de las copias de seguridad superior o igual al periodo especificado. Se produce un error en el control si las copias de seguridad no están habilitadas para el clúster de base de datos de Neptune o si el periodo de retención es inferior al periodo especificado. A menos que proporcione un valor de parámetro personalizado para el período de retención de la copia de seguridad, Security Hub CSPM utiliza un valor predeterminado de 7 días.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad y a reforzar la resiliencia de sus sistemas. Al automatizar las copias de seguridad de sus clústeres de bases de datos de Neptune, podrá restaurar sus sistemas a un punto en el tiempo y minimizar el tiempo de inactividad y la pérdida de datos. 

### Corrección
<a name="neptune-5-remediation"></a>

Para habilitar las copias de seguridad automatizadas y establecer un periodo de retención de copias de seguridad para los clústeres de bases de datos de Neptune, consulte [Habilitación de las copias de seguridad automatizadas](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) en la *Guía del usuario de Amazon RDS*. Para el **período de retención de la copia de seguridad**, elija un valor mayor o igual a 7.

## [Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
<a name="neptune-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instantánea de un clúster de base de datos de Neptune está cifrada en reposo. El control falla si un clúster de base de datos de Neptune no está cifrado en reposo.

Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado acceda a ellos. Los datos de las instantáneas de los clústeres de base de datos de Neptune deben cifrarse en reposo para ofrecer un nivel de seguridad adicional.

### Corrección
<a name="neptune-6-remediation"></a>

No puede cifrar una instantánea de un clúster de base de datos de Neptune existente. En su lugar, debe restaurar la instantánea en un nuevo clúster de base de datos y habilitar el cifrado en el clúster. Puede crear una instantánea cifrada desde el clúster cifrado. Para obtener instrucciones, consulte [Restauración desde una instantánea de clúster de base de datos](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html) y [Creación de una instantánea de clúster de base de datos en Neptuno](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html) en la *Guía del usuario de Neptuno*.

## [Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM
<a name="neptune-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Neptune tiene habilitada la autenticación de bases de datos de IAM. El control falla si la autenticación de la base de datos de IAM no está habilitada para un clúster de base de datos de Neptune.

La autenticación de base de datos de IAM para los clústeres de base de datos de Amazon Neptune elimina la necesidad de almacenar credenciales de usuario en la configuración de base de datos, ya que la autenticación se administra externamente mediante IAM. Cuando la autenticación de bases de datos de IAM está habilitada, cada solicitud debe firmarse con la versión 4 de AWS Signature. 

### Corrección
<a name="neptune-7-remediation"></a>

De forma predeterminada, la autenticación de bases de datos de IAM está deshabilitada al crear un clúster de Neptune DB. Para habilitarlo, consulte [Habilitar la autenticación de bases de datos de IAM en Neptuno](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html) en la *Guía del usuario de Neptuno*.

## [Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas
<a name="neptune-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NISt.800-53.r5 CM-2, NISt.800-53.r5 CM-2 (2)

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Neptune está configurado para copiar todas las etiquetas en las instantáneas cuando se crean las instantáneas. El control falla si un clúster de base de datos de Neptune no está configurado para copiar etiquetas a las instantáneas.

La identificación y el inventario de sus activos de TI es un aspecto fundamental de seguridad y control. Debe etiquetar instantáneas del mismo modo que los clústeres de base de datos de Amazon RDS principales. La copia de las etiquetas garantiza que los metadatos para las instantáneas de base de datos coincidan con los clústeres de base de datos principales y que cualquier política de acceso para la instantánea de base de datos también coincida con la de la instancia de base de datos principal. 

### Corrección
<a name="neptune-8-remediation"></a>

Para copiar etiquetas en instantáneas de clústeres de bases de datos de Neptuno, [consulte Copiar etiquetas en Neptuno](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview) en la *Guía del usuario de Neptuno*.

## [Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad
<a name="neptune-9"></a>

**Requisitos relacionados:** 6, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 (2 NIST.800-53.r5 SC-5), NiSt.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html) 

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Amazon Neptune tiene instancias de lectura y réplica en varias zonas de disponibilidad (). AZs Se produce un error en el control si el clúster se implementa en una sola AZ.

Si una AZ no está disponible y durante los eventos de mantenimiento habituales, las réplicas de lectura sirven como destinos de conmutación por error para la instancia principal. Es decir, si la instancia principal falla, Neptune promueve una instancia de réplica de lectura para convertirla en la instancia primaria. Por el contrario, si su clúster de base de datos no incluye ninguna instancia de réplica de lectura, su clúster de base de datos seguirá sin estar disponible cuando la instancia principal falle hasta que se vuelva a crear. Volver a crear la instancia principal lleva mucho más tiempo que promover una réplica de lectura. Para garantizar una alta disponibilidad, le recomendamos que cree una o más instancias de réplica de lectura que tengan la misma clase de instancia de base de datos que la instancia principal y que estén ubicadas en una instancia diferente AZs a la principal.

### Corrección
<a name="neptune-9-remediation"></a>

*Para implementar un clúster de base de datos Neptune en varios AZs, consulte [Lectura y réplica de instancias de base de datos en un clúster de base de datos Neptune en la Guía del usuario de Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas).*

# Controles CSPM de Security Hub para AWS Network Firewall
<a name="networkfirewall-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Network Firewall servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad
<a name="networkfirewall-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control evalúa si un firewall gestionado a través AWS Network Firewall de él está implementado en varias zonas de disponibilidad (). AZs Se produce un error en el control si un firewall se implementa en una sola AZ.

AWS la infraestructura global incluye varias Regiones de AWS. AZs son ubicaciones aisladas y separadas físicamente dentro de cada región que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Al implementar un firewall de Network Firewall en varios AZs, puede equilibrar y transferir el tráfico entre ellos AZs, lo que le ayuda a diseñar soluciones de alta disponibilidad.

### Corrección
<a name="networkfirewall-1-remediation"></a>

**Implementación de un firewall de Network Firewall en múltiples AZs**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, en **Firewall de red**, elija **Firewalls**.

1. En la página **Firewalls**, seleccione el nombre del firewall que quiere editar.

1. En la página de detalles del firewall, elija la pestaña **Detalles del firewall**.

1. En la sección **Política asociada y VPC**, elija **Editar**

1. Para agregar una nueva AZ, elija **Agregar nueva subred**. Seleccione la AZ y la subred que quiere utilizar. Asegúrese de seleccionar al menos dos AZs.

1. Seleccione **Save**.

## [NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
<a name="networkfirewall-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NiSt.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NiSt.800-53.r5 SI-4, NiSt.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), NIst.800-171.R2 3.1.20, NIst.800-171.r2 3,1131 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::LoggingConfiguration`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el registro está habilitado para un AWS Network Firewall firewall. Se produce un error en el control si el registro no está habilitado para al menos un tipo de registro o si el destino del registro no existe.

El registro ayuda a mantener la fiabilidad, la disponibilidad y el rendimiento de los firewalls. En Network Firewall, el registro proporciona información detallada sobre el tráfico de red, incluida la hora en la que el motor con estado recibió un flujo de paquetes, información detallada acerca del flujo de paquetes y las medidas de regla de estado adoptadas respecto del flujo de paquetes.

### Corrección
<a name="networkfirewall-2-remediation"></a>

Para habilitar el registro en un firewall, consulte [Updating a firewall's logging configuration](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html) en la *Guía para desarrolladores de AWS Network Firewall *.

## [NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas
<a name="networkfirewall-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NIst.800-171.r2 3.1.3, NISt.800-171.r2 3.13.1

**Categoría:** Proteger > Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una política de Network Firewall tiene asociados grupos de reglas con estado o sin estado. El control falla si no se asignan grupos de reglas sin estado o con estado.

Una política de firewall define la forma en que su firewall supervisa y gestiona el tráfico en Amazon Virtual Private Cloud (Amazon VPC). La configuración de grupos de reglas con estado y sin estado ayuda a filtrar los paquetes y los flujos de tráfico, y define el manejo del tráfico predeterminado.

### Corrección
<a name="networkfirewall-3-remediation"></a>

Para añadir un grupo de reglas a una política de Network Firewall, consulte [Actualización de una política de firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) en la *Guía para desarrolladores de AWS Network Firewall *. Para obtener información sobre cómo crear y administrar grupos de reglas, consulte [Grupos de reglas en AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).

## [NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos
<a name="networkfirewall-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría:** Proteger > Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe` (no personalizable)

Este control comprueba si la acción sin estado predeterminada para los paquetes completos de una política de Network Firewall es eliminar o reenviar. El control se activa si se selecciona `Drop` o `Forward`, y da error si se selecciona `Pass`.

Una política de firewall define la forma en que su firewall supervisa y gestiona el tráfico en Amazon VPC. Puede configurar grupos de reglas sin estado y con estado para filtrar los paquetes y los flujos de tráfico. Si se establece de forma predeterminada a `Pass` se puede permitir el tráfico no deseado.

### Corrección
<a name="networkfirewall-4-remediation"></a>

Para cambiar la política de firewall, consulte [Actualización de una política de firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) en la *Guía para desarrolladores de AWS Network Firewall *. Para las **Acciones predeterminadas Sin estado**, seleccione **Editar**. A continuación, seleccione **Soltar** o **Reenviar a grupos de reglas con estado** como **Acción**.

## [NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados
<a name="networkfirewall-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NISt.800-53.r5 CM-2, NISt.800-171.r2 3.1.3, NISt.800-171.r2 3.1.14, NISt.800-171.r2 3.13.1, NISt.800-171.r2 3.13.6

**Categoría:** Proteger > Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe` (no personalizable)

Este control comprueba si la acción sin estado predeterminada para los paquetes fragmentados de una política de Network Firewall es eliminar o reenviar. El control se activa si se selecciona `Drop` o `Forward`, y da error si se selecciona `Pass`.

Una política de firewall define la forma en que su firewall supervisa y gestiona el tráfico en Amazon VPC. Puede configurar grupos de reglas sin estado y con estado para filtrar los paquetes y los flujos de tráfico. Si se establece de forma predeterminada a `Pass` se puede permitir el tráfico no deseado.

### Corrección
<a name="networkfirewall-5-remediation"></a>

Para cambiar la política de firewall, consulte [Actualización de una política de firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) en la *Guía para desarrolladores de AWS Network Firewall *. Para las **Acciones predeterminadas Sin estado**, seleccione **Editar**. A continuación, seleccione **Soltar** o **Reenviar a grupos de reglas con estado** como **Acción**.

## [NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
<a name="networkfirewall-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NISt.800-171.r2 3.1.14, NISt.800-171.r2 3.13.1, NISt.800-171.r2 3.13.6

**Categoría:** Proteger > Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::RuleGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de reglas sin estado contiene reglas. AWS Network Firewall El control falla si no hay reglas en el grupo de reglas.

Un grupo de reglas contiene reglas que definen cómo el firewall procesa el tráfico en la VPC. Un grupo de reglas sin estado vacío, cuando está presente en una política de cortafuegos, puede dar la impresión de que el grupo de reglas procesará tráfico. Sin embargo, cuando el grupo de reglas sin estado está vacío, no procesa el tráfico.

### Corrección
<a name="networkfirewall-6-remediation"></a>

Para agregar reglas a su grupo de reglas de Network Firewall, consulte [Actualización de un grupo de reglas con estado](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html) en la *Guía para desarrolladores de AWS Network Firewall *. En la página de detalles del firewall, en el **Grupo de reglas sin estado**, seleccione **Editar** para añadir reglas.

## [NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados
<a name="networkfirewall-7"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`

**AWS Config regla:** `tagged-networkfirewall-firewall` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un AWS Network Firewall firewall tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el firewall no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el firewall no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="networkfirewall-7-remediation"></a>

Para añadir etiquetas a un firewall de Network Firewall, consulte [Etiquetado de AWS Network Firewall recursos](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) en la *Guía para AWS Network Firewall desarrolladores*.

## [NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas
<a name="networkfirewall-8"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config regla:** `tagged-networkfirewall-firewallpolicy` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una política de AWS Network Firewall firewall tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si la política de firewall no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la política de firewall no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="networkfirewall-8-remediation"></a>

Para añadir etiquetas a una política de Network Firewall, consulte [Etiquetado de AWS Network Firewall recursos](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) en la *Guía para AWS Network Firewall desarrolladores*.

## [NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación
<a name="networkfirewall-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoría**: Proteger > Seguridad de red

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un AWS Network Firewall firewall tiene habilitada la protección contra la eliminación. El control falla si la protección contra la eliminación no está habilitada en un firewall.

AWS Network Firewall es un servicio de detección de intrusos y firewall de red gestionado y con estado que le permite inspeccionar y filtrar el tráfico hacia, desde o entre sus nubes privadas virtuales ()VPCs. La configuración de protección contra la eliminación protege contra la eliminación accidental del firewall.

### Corrección
<a name="networkfirewall-9-remediation"></a>

Para habilitar la protección contra eliminación en un firewall de Network Firewall existente, consulte [Actualización de un firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) en la *Guía para desarrolladores de AWS Network Firewall *. Para **Cambiar las protecciones**, seleccione **Habilitar**. También puede activar la protección contra la eliminación invocando la [ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API y configurando el campo en`DeleteProtection`. `true`

## [NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred
<a name="networkfirewall-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoría**: Proteger > Seguridad de red

**Gravedad:** media

**Tipo de recurso:** `AWS::NetworkFirewall::Firewall`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si la protección contra cambios de subred está habilitada para un firewall de AWS Network Firewall . El control falla si la protección contra cambios de subred no está habilitada para el firewall.

AWS Network Firewall es un servicio de detección de intrusiones y firewall de red gestionado y con estado que puede utilizar para inspeccionar y filtrar el tráfico hacia, desde o entre sus nubes privadas virtuales ()VPCs. Si habilita la protección contra cambios de subred para un firewall de Network Firewall, puede proteger el firewall contra cambios accidentales en las asociaciones de subred.

### Corrección
<a name="networkfirewall-10-remediation"></a>

Para obtener información sobre cómo habilitar la protección contra cambios de subred en un firewall existente de Network Firewall, consulte [Actualización de un firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) en la *Guía del desarrollador de AWS Network Firewall *.

# Controles CSPM de Security Hub para Amazon Service OpenSearch
<a name="opensearch-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el OpenSearch servicio y los recursos de Amazon OpenSearch Service (Servicio). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
<a name="opensearch-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, (1), 3, 8, 8 (1), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si OpenSearch los dominios tienen habilitada encryption-at-rest la configuración. La comprobación falla si el cifrado en reposo no está habilitado.

Para añadir un nivel de seguridad adicional a los datos confidenciales, debe configurar su dominio de OpenSearch servicio para que esté cifrado en reposo. Al configurar el cifrado de datos en reposo, AWS KMS almacena y administra las claves de cifrado. Para realizar el cifrado, AWS KMS utiliza el algoritmo del estándar de cifrado avanzado con claves de 256 bits (AES-256).

Para obtener más información sobre el cifrado de OpenSearch servicios en reposo, consulte [Cifrado de datos en reposo para Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) en la *Guía para desarrolladores* de *Amazon OpenSearch Service*.

### Corrección
<a name="opensearch-1-remediation"></a>

Para habilitar el cifrado en reposo para OpenSearch dominios nuevos y existentes, consulta Cómo [habilitar el cifrado de datos en reposo](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
<a name="opensearch-2"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoría:** Proteger > Configuración de red segura > Recursos dentro de VPC

**Gravedad:** crítica

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si OpenSearch los dominios están en una VPC. No evalúa la configuración de direccionamiento de subred de VPC para determinar el acceso público.

Debe asegurarse de que OpenSearch los dominios no estén conectados a subredes públicas. Consulta [las políticas basadas en recursos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) en la Guía para desarrolladores de Amazon OpenSearch Service. También debe asegurarse de que la VPC esté configurada de acuerdo con las prácticas recomendadas. Consulte [Prácticas recomendadas de seguridad para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) en la Guía del usuario de Amazon VPC.

OpenSearch los dominios implementados en una VPC pueden comunicarse con los recursos de la VPC a través de la AWS red privada, sin necesidad de atravesar la Internet pública. Esta configuración aumenta la seguridad al limitar el acceso a los datos en tránsito. VPCs proporcionan una serie de controles de red para proteger el acceso a los OpenSearch dominios, incluidas las ACL de red y los grupos de seguridad. Security Hub recomienda migrar OpenSearch los dominios públicos VPCs a para aprovechar estos controles.

### Corrección
<a name="opensearch-2-remediation"></a>

Si crea un dominio con un punto de enlace público, no podrá colocarlo posteriormente en una VPC. En lugar de ello, se debe crear un dominio nuevo y migrar los datos. y viceversa. Si crea un dominio dentro de una VPC, no puede tener un punto de enlace público. En su lugar, debe [crear otro dominio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains) o deshabilitar este control.

Para obtener instrucciones, consulta Cómo [lanzar tus dominios de Amazon OpenSearch Service dentro de una VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) en la Guía para *desarrolladores de Amazon OpenSearch Service*.

## Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
<a name="opensearch-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si OpenSearch los dominios tienen el node-to-node cifrado activado. Este control falla si el node-to-node cifrado está deshabilitado en el dominio.

El HTTPS (TLS) se puede utilizar para evitar que posibles atacantes escuchen o manipulen el tráfico de la red mediante ataques o similares. person-in-the-middle Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). Al habilitar el node-to-node cifrado de los OpenSearch dominios, se garantiza que las comunicaciones dentro del clúster se cifren durante el tránsito.

Puede haber una penalización en el rendimiento asociada a esta configuración. Debe conocer y probar la compensación de rendimiento antes de activar esta opción.

### Corrección
<a name="opensearch-3-remediation"></a>

Para habilitar el node-to-node cifrado en un OpenSearch dominio, consulta [Habilitar el node-to-node cifrado](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
<a name="opensearch-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `logtype = 'error'` (no personalizable)

Este control comprueba CloudWatch si los dominios están configurados para enviar registros de errores a Logs. OpenSearch Este control falla si el registro de errores no CloudWatch está habilitado para un dominio.

Debe habilitar los registros de errores para OpenSearch los dominios y enviarlos a CloudWatch Logs para su conservación y respuesta. Los registros de errores de los dominios pueden ayudar con las auditorías de seguridad y acceso, y pueden ayudar a diagnosticar problemas de disponibilidad.

### Corrección
<a name="opensearch-4-remediation"></a>

Para habilitar la publicación de registros, consulta [Habilitar la publicación de registros (consola)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
<a name="opensearch-5"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `cloudWatchLogsLogGroupArnList`(no personalizable): Security Hub CSPM no completa este parámetro. Lista de grupos de CloudWatch registros separados por comas que deben configurarse para los registros de auditoría.

Este control comprueba si los OpenSearch dominios tienen habilitado el registro de auditoría. Este control produce un error si un OpenSearch dominio no tiene activado el registro de auditoría.

Los registros de auditoría son altamente personalizables. Le permiten realizar un seguimiento de la actividad de los usuarios en sus OpenSearch clústeres, incluidos los aciertos y los errores de autenticación, las solicitudesOpenSearch, los cambios de indexación y las consultas de búsqueda entrantes.

### Corrección
<a name="opensearch-5-remediation"></a>

Para obtener instrucciones sobre cómo habilitar los registros de auditoría, consulta [Habilitar los registros de auditoría](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
<a name="opensearch-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), niST.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los OpenSearch dominios están configurados con al menos tres nodos de datos y lo está. `zoneAwarenessEnabled` `true` Este control no funciona para un OpenSearch dominio si `instanceCount` es inferior a 3 o `zoneAwarenessEnabled` es`false`.

Para lograr una alta disponibilidad y tolerancia a errores a nivel de clúster, un OpenSearch dominio debe tener al menos tres nodos de datos. La implementación de un OpenSearch dominio con al menos tres nodos de datos garantiza las operaciones del clúster en caso de que un nodo falle.

### Corrección
<a name="opensearch-6-remediation"></a>

**Para modificar la cantidad de nodos de datos de un OpenSearch dominio**

1. Inicia sesión en la AWS consola y abre la consola OpenSearch de Amazon Service en [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. En **Mis dominios**, elija el nombre del dominio que desee editar y elija **Editar**.

1. En **Nodos de datos**, establezca **Número de nodos** en un número superior a `3`. Si va a realizar la implementación en tres zonas de disponibilidad, establezca el número en un múltiplo de tres para garantizar una distribución equitativa entre las zonas de disponibilidad. 

1. Seleccione **Enviar**.

## Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
<a name="opensearch-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

**Categoría**: Proteger > Gestión del acceso seguro > Acciones confidenciales de la API restringidas

**Gravedad:** alta

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si OpenSearch los dominios tienen habilitado el control de acceso detallado. El control falla si el control de acceso detallado no está habilitado. El control de acceso detallado requiere `advanced-security-options` que el parámetro esté habilitado. OpenSearch `update-domain-config`

El control de acceso detallado ofrece formas adicionales de controlar el acceso a tus datos en Amazon Service. OpenSearch 

### Corrección
<a name="opensearch-7-remediation"></a>

*Para habilitar un control de acceso detallado, consulta Control de [acceso detallado en Amazon Service en la Guía para desarrolladores OpenSearch de Amazon Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html). OpenSearch *

## [Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente
<a name="opensearch-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10` (no personalizable)

Este control comprueba si un punto de enlace de dominio de Amazon OpenSearch Service está configurado para utilizar la política de seguridad TLS más reciente. El control falla si el punto de enlace del OpenSearch dominio no está configurado para usar la última política compatible o si HTTPs no está habilitado.

El protocolo HTTPS (TLS) se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS. TLS 1.2 proporciona varias mejoras de seguridad con respecto a las versiones anteriores de TLS. 

### Corrección
<a name="opensearch-8-remediation"></a>

Para habilitar el cifrado TLS, utilice la operación API. [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) Configure el [DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)campo para especificar el valor de`TLSSecurityPolicy`. Para obtener más información, consulta el [Node-to-node cifrado](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html) en la *Guía para desarrolladores OpenSearch de Amazon Service*.

## Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
<a name="opensearch-9"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**AWS Config regla:** `tagged-opensearch-domain` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un dominio de Amazon OpenSearch Service tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el dominio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el dominio no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="opensearch-9-remediation"></a>

Para añadir etiquetas a un dominio OpenSearch de servicio, consulta Cómo [trabajar con etiquetas](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
<a name="opensearch-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un dominio de Amazon OpenSearch Service tiene instalada la última actualización de software. Se produce un error en el control si hay una actualización de software disponible, pero no está instalada para el dominio.

OpenSearch Las actualizaciones de software de servicio proporcionan las últimas correcciones, actualizaciones y funciones de plataforma disponibles para el entorno. Mantener la instalación up-to-date de los parches ayuda a mantener la seguridad y la disponibilidad del dominio. Si no se adoptan medidas respecto de las actualizaciones necesarias, actualizaremos el software de servicio automáticamente después de un tiempo determinado (por lo general, dos semanas). Recomendamos programar las actualizaciones en momentos de poco tráfico en el dominio para minimizar las interrupciones del servicio. 

### Corrección
<a name="opensearch-10-remediation"></a>

Para instalar actualizaciones de software para un OpenSearch dominio, consulta Cómo [iniciar una actualización](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

## Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
<a name="opensearch-11"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, niST.800-53.r5 SI-13

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** baja

**Tipo de recurso:** `AWS::OpenSearch::Domain`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un dominio de Amazon OpenSearch Service está configurado con al menos tres nodos principales dedicados. El control falla si el dominio tiene menos de tres nodos principales dedicados.

OpenSearch El servicio utiliza nodos principales dedicados para aumentar la estabilidad del clúster. Un nodo principal dedicado realiza tareas de administración de clústeres, pero no contiene datos ni responde a las solicitudes de carga de datos. Le recomendamos que utilice Multi-AZ con modo de espera, lo que añade tres nodos principales dedicados a cada OpenSearch dominio de producción. 

### Corrección
<a name="opensearch-11-remediation"></a>

Para cambiar el número de nodos principales de un OpenSearch dominio, consulte [Creación y gestión de dominios de Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) en la *Guía para desarrolladores de Amazon OpenSearch Service*.

# Controles CSPM de Security Hub para AWS Private CA
<a name="pca-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Private Certificate Authority (AWS Private CA) servicio y los recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada
<a name="pca-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** baja

**Tipo de recurso:** `AWS::ACMPCA::CertificateAuthority`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si AWS Private CA tiene una autoridad de certificación (CA) raíz deshabilitada. Se produce un error en el control si la autoridad emisora de certificados raíz está habilitada.

Con AWS Private CAél, puede crear una jerarquía de CA que incluya una CA raíz y una subordinada. CAs Debe minimizar el uso de la autoridad emisora de certificados raíz para las tareas diarias, especialmente en los entornos de producción. La CA raíz solo debe usarse para emitir certificados para empresas intermedias CAs. Esto permite almacenar la CA raíz de forma segura mientras la entidad emisora intermedia CAs realiza la tarea diaria de emitir los certificados de la entidad final.

### Corrección
<a name="pca-1-remediation"></a>

Para deshabilitar la autoridad emisora de certificados raíz, consulte [Actualización del estado de CA](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps) en la *Guía del usuario de AWS Private Certificate Authority *.

## [PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas
<a name="pca-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::ACMPCA::CertificateAuthority`

**Regla de AWS Config : ** `acmpca-certificate-authority-tagged`

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  Sin valor predeterminado  | 

Este control comprueba si una entidad emisora de certificados AWS privada tiene etiquetas con las claves específicas definidas en el parámetro`requiredKeyTags`. El control falla si la autoridad del certificado no tiene ninguna clave de etiqueta o si no cuenta con todas las claves especificadas en el parámetro `requiredKeyTags`. Si no se proporciona el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si la autoridad del certificado no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [las mejores prácticas y estrategias](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en los * AWS recursos de etiquetado y en la Guía del usuario del editor de etiquetas*.

### Corrección
<a name="pca-2-remediation"></a>

Para añadir etiquetas a una autoridad de CA AWS privada, consulte [Añadir etiquetas para una entidad de certificación privada](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html) en la Guía del *AWS Private Certificate Authority usuario*.

# Controles de CSPM de Security Hub para Amazon RDS
<a name="rds-controls"></a>

Estos AWS Security Hub CSPM controles evalúan los recursos de Amazon Relational Database Service (Amazon RDS) y Amazon RDS. Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [RDS.1] La instantánea de RDS debe ser privada
<a name="rds-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBSnapshot`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las instantáneas de Amazon RDS son públicas. El control falla si las instantáneas de RDS son públicas. Este control evalúa instancias de RDS, instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB.

Las instantáneas de RDS se utilizan para realizar copias de seguridad de los datos de las instancias de RDS en un momento determinado. Se pueden utilizar para restaurar estados anteriores de instancias de RDS.

Una instantánea de RDS no debe ser pública a menos que se quiera. Si comparte una instantánea manual sin cifrar públicamente, estará disponible para todas las cuentas de Cuentas de AWS. Esto puede provocar una exposición no intencionada de los datos de su instancia de RDS.

Tenga en cuenta que si se cambia la configuración para permitir el acceso público, es posible que la AWS Config regla no pueda detectar el cambio hasta dentro de 12 horas. Hasta que la AWS Config regla detecte el cambio, la comprobación se realizará aunque la configuración infrinja la regla.

Para obtener más información sobre cómo compartir una instantánea de base de datos, consulte [Cómo compartir una instantánea de base de datos](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-1-remediation"></a>

Para eliminar el acceso público de las instantáneas de RDS, consulte [Compartir una instantánea](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing) en la *Guía del usuario de Amazon RDS*. En **Visibilidad de las instantáneas de base de datos**, elija **Privada**.

## [RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible
<a name="rds-2"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.3, CIS AWS Foundations Benchmark v3.0.0/2.3.3, (21), (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4 DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las instancias de Amazon RDS son accesibles públicamente mediante la evaluación del campo `PubliclyAccessible` en el elemento de configuración de instancia.

Las instancias de base de datos de Neptune y los clústeres de Amazon DocumentDB no tienen el indicador de `PubliclyAccessible` y no se pueden evaluar. Sin embargo, este control aún puede generar resultados para estos recursos. Puede suprimir estos resultados.

El valor `PubliclyAccessible` de la configuración de la instancia de RDS indica si la instancia de base de datos es accesible públicamente. Si la instancia de base de datos se ha configurado con `PubliclyAccessible`, se trata de una instancia orientada a Internet con un nombre DNS que se puede resolver públicamente y que se resuelve en una dirección IP pública. Cuando la instancia de base de datos no es accesible públicamente, se trata de una instancia interna con un nombre DNS que se resuelve en una dirección IP privada.

A menos que tenga la intención de dar acceso público a su instancia de RDS, la instancia de RDS no debe configurarse con el valor `PubliclyAccessible`. Si lo hace, podría generar tráfico innecesario a su instancia de base de datos.

### Corrección
<a name="rds-2-remediation"></a>

Para eliminar el acceso público a las instancias de base de datos de RDS, consulte [Modificación de una instancia de base de datos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) en la *Guía del usuario de Amazon RDS.* En **Acceso público**, elija **No**.

## [RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo
<a name="rds-3"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8, 8 (1), NIST.800-53.r5 SC-7 (1), (10), NIST.800-53.r5 SI-7 (6)

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el cifrado de almacenamiento está habilitado para las instancias de base de datos de Amazon RDS.

Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.

Para obtener una capa adicional de seguridad para la información confidencial en las instancias de base de datos de RDS, debe configurar las instancias de base de datos de RDS de tal manera que se cifren en reposo. Para cifrar las instancias de base de datos de RDS y las instantáneas en reposo, debe habilitar la opción de cifrado para las instancias de base de datos de RDS. Los datos cifrados en reposo incluyen el almacenamiento subyacente de una instancia de base de datos, sus copias de seguridad automatizadas, sus réplicas de lectura y sus instantáneas. 

En las instancias de base de datos cifradas de RDS se utiliza el algoritmo de cifrado AES-256 de código estándar para cifrar los datos en el servidor que aloja la instancia de base de datos de RDS. Una vez cifrados los datos, Amazon RDS se encarga de la autenticación de acceso y del descifrado de los datos de forma transparente, con un impacto mínimo en el desempeño. No es necesario modificar las aplicaciones cliente de base de datos para utilizar el cifrado. 

El cifrado de Amazon RDS actualmente está disponible para todos los motores de bases de datos y tipos de almacenamiento. El cifrado de Amazon RDS está disponible para la mayoría de las clases de instancias de bases de datos. Para obtener información acerca de las clases de instancia de base de datos que no admiten el cifrado de Amazon RDS, consulte [Cifrado de recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-3-remediation"></a>

Para obtener información sobre el cifrado de instancias de base de datos en Amazon RDS, consulte [Cifrar los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) en la *Guía del usuario de Amazon RDS*.

## Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas
<a name="rds-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`, ` AWS::RDS::DBSnapshot`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instantánea de base de datos de RDS está cifrada. El control falla si una instantánea de base de datos de RDS no está cifrada.

Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para instantáneas de instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. Los datos de las instantáneas de RDS deben cifrarse en reposo para ofrecer un nivel de seguridad adicional.

### Corrección
<a name="rds-4-remediation"></a>

*Para cifrar una instantánea de RDS, consulte [Cifrar los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) en la Guía del usuario de Amazon RDS*. Cuando cifra una instancia de base de datos de RDS, los datos cifrados incluyen el almacenamiento subyacente de la instancia, sus copias de seguridad automatizadas, sus réplicas de lectura y sus instantáneas.

Solo se puede cifrar una instancia de base de datos de RDS al crearla, no después de que se haya creado. Sin embargo, debido a que se puede cifrar una copia de una instantánea de base de datos sin cifrar, en la práctica es posible agregar el cifrado a una instancia de base de datos sin cifrar. Es decir, puede crear una instantánea de una instancia de base de datos y, a continuación, crear una copia cifrada de esa instantánea. A continuación, se puede restaurar una instancia de base de datos a partir de la instantánea cifrada y de este modo, se tiene una copia cifrada de la instancia de base de datos original.

## Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad
<a name="rds-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la alta disponibilidad está habilitada para sus instancias de base de datos de RDS. El control falla si una instancia de base de datos de RDS no está configurada con varias zonas de disponibilidad (). AZs Este control no se aplica a las instancias de base de datos de RDS que forman parte de una implementación de clúster Multi-AZ.

La configuración de las instancias de base de datos de Amazon RDS AZs ayuda a garantizar la disponibilidad de los datos almacenados. Las implementaciones en zonas de disponibilidad múltiples permiten la conmutación por error automática si hay algún problema con la disponibilidad de las zonas de disponibilidad y durante el mantenimiento regular del RDS.

### Corrección
<a name="rds-5-remediation"></a>

Para implementar sus instancias de base de datos en varias instancias AZs, [modifique una instancia de base de datos para que sea una implementación de instancia de base de datos Multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) en la Guía del *usuario de Amazon RDS*.

## Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]
<a name="rds-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 NIST.800-53.r5 CA-7 SI-2

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `monitoringInterval`  |  Número de segundos entre los intervalos de recopilación de métricas de supervisión  |  Enum  |  `1`, `5`, `10`, `15`, `30`, `60`  |  Sin valor predeterminado  | 

Este control comprueba si la supervisión mejorada está habilitada para una instancia de base de datos de Amazon Relational Database Service (Amazon RDS). Se produce un error en el control si la supervisión mejorada no está habilitada para la instancia. Si proporciona un valor personalizado para el parámetro `monitoringInterval`, el control pasa si se recopilan métricas de supervisión mejoradas para la instancia en el intervalo especificado.

En Amazon RDS, la supervisión mejorada permite una respuesta más rápida a los cambios de rendimiento en la infraestructura subyacente. Estos cambios en el rendimiento podrían provocar una falta de disponibilidad de los datos. El monitoreo mejorado proporciona métricas en tiempo real para el sistema operativo en el que se ejecuta la instancia de base de datos de RDS. El agente está instalado en la instancia. El agente puede obtener métricas con mayor precisión de lo que es posible desde la capa del hipervisor.

Las métricas de monitorización mejoradas son útiles cuando desea ver cómo diferentes procesos o subprocesos en una instancia de base de datos usan la CPU. Para obtener más información, consulte [Enhanced Monitoring](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) (Supervisión mejorada) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-6-remediation"></a>

Para obtener instrucciones detalladas sobre cómo habilitar la supervisión mejorada para su instancia de base de datos, consulte [Configuración y activación de la supervisión mejorada](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.Enabling) en la *Guía del usuario de Amazon RDS*.

## Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación
<a name="rds-7"></a>

**Requisitos relacionados: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2**)

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos RDS tiene habilitada la protección contra eliminación. El control falla si un clúster de base de datos RDS no tiene habilitada la protección contra eliminación.

Este control está diseñado para instancias de base de datos de RDS. Sin embargo, también puede generar resultados para instancias de base de datos de Aurora, instancias de base de datos de Neptune y clústeres de Amazon DocumentDB. Si estos resultados no son útiles, puede suprimirlos.

Habilitar la protección contra la eliminación de clústeres es un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada.

Cuando la protección de eliminación está habilitada, no se puede eliminar un clúster de base de datos. Para que una solicitud de eliminación se pueda realizar correctamente, la protección contra la eliminación debe estar deshabilitada.

### Corrección
<a name="rds-7-remediation"></a>

Para habilitar la protección contra la eliminación de un clúster de base de datos de RDS, consulte [Modificación del clúster de base de datos mediante la consola, la CLI y la API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) en la *Guía del usuario de Amazon RDS*. En **Protección contra eliminación**, elija **Habilitar la protección contra eliminación**. 

## Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación
<a name="rds-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `databaseEngines`: `mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web` (no personalizable)

Este control comprueba si las instancias de base de datos de RDS que utilizan uno de los motores de bases de datos de la lista tienen habilitada la protección contra la eliminación. El control falla si una instancia de base de datos RDS no tiene habilitada la protección contra eliminación.

La activación de la protección contra la eliminación de instancias es un nivel adicional de protección contra la eliminación accidental de la base de datos o la eliminación por parte de una entidad no autorizada.

Mientras la protección contra la eliminación está habilitada, no se puede eliminar una instancia de base de datos de RDS. Para que una solicitud de eliminación se pueda realizar correctamente, la protección contra la eliminación debe estar deshabilitada.

### Corrección
<a name="rds-8-remediation"></a>

Para habilitar la protección contra la eliminación de una instancia de base de datos de RDS, consulte [Modificación de una instancia de base de datos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) en la *Guía del usuario de Amazon RDS*. En **Protección contra eliminación**, elija **Habilitar la protección contra eliminación**. 

## [RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch
<a name="rds-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIst.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIst.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instancia de base de datos de Amazon RDS está configurada para publicar los siguientes registros en Amazon CloudWatch Logs. El control falla si la instancia no está configurada para publicar los siguientes registros en CloudWatch Logs:
+ Oracle: Alert, Audit, Trace, Listener
+ PostgreSQL: Postgresql, Upgrade
+ MySQL: Auditoría, Error, General, SlowQuery
+ MariaDB: Auditoría, Error, General, SlowQuery
+ SQL Server: Error, Agent
+ Aurora: auditoría, error, general, SlowQuery
+ Aurora-MySQL: Auditoría, Error, General, SlowQuery
+ Aurora-PostgreSQL: Postgresql

Las bases de datos de RDS deben tener habilitados los registros relevantes. El registro de la base de datos proporciona registros detallados de las solicitudes realizadas a RDS. Los registros de las bases de datos pueden ayudar con las auditorías de seguridad y acceso y pueden ayudar a diagnosticar problemas de disponibilidad.

### Corrección
<a name="rds-9-remediation"></a>

Para obtener información sobre la publicación de registros de bases de datos de RDS en CloudWatch Logs, consulte [Especificar los registros que se van a publicar en CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) en la Guía del *usuario de Amazon RDS*.

## La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS
<a name="rds-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instancia de base de datos de RDS tiene habilitada la autenticación de bases de datos de IAM. El control falla si la autenticación de IAM no está configurada para las instancias de base de datos de RDS. Este control solo evalúa las instancias de RDS con los siguientes tipos de motor: `mysql`, `postgres`, `aurora`, `aurora-mysql`, `aurora-postgresql` y `mariadb`. Una instancia de RDS también debe estar en uno de los siguientes estados para que se genere un resultado: `available`, `backing-up`, `storage-optimization` o `storage-full`.

La autenticación de bases de datos de IAM permite autenticar las instancias de bases de datos con un token de autenticación en lugar de una contraseña. El tráfico de red hacia y desde la base de datos se cifra mediante SSL. Para obtener más información, consulte [Autenticación de bases de datos de IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) en la *Guía del usuario de Amazon Aurora*.

### Corrección
<a name="rds-10-remediation"></a>

Para activar la autenticación de bases de datos de IAM en una instancia de base de datos de RDS, consulte [Habilitar y deshabilitar la autenticación de bases de datos de IAM](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) en la *Guía del usuario de Amazon RDS*.

## Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas
<a name="rds-11"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NiSt.800-53.r5 SI-12, NiSt.800-53.r5 SI-13 (5)

**Categoría: Recuperación > Resiliencia > Respaldos habilitados** 

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupRetentionMinimum`  |  El periodo mínimo de retención de copias de seguridad en días  |  Entero  |  De `7` a `35`  |  `7`  | 
|  `checkReadReplicas`  |  Comprueba si las instancias de base de datos de RDS tienen habilitadas las copias de seguridad para las réplicas de lectura  |  Booleano  |  No personalizable  |  `false`  | 

Este control comprueba si la instancia de Amazon Relational Database Service tiene habilitadas las copias de seguridad automáticas y si el periodo de retención de las copias de seguridad es superior o igual al periodo especificado. Las réplicas de lectura se excluyen de la evaluación. Se produce un error en el control si las copias de seguridad no están habilitadas para la instancia o si el periodo de retención es inferior al periodo especificado. A menos que proporcione un valor de parámetro personalizado para el período de retención de la copia de seguridad, Security Hub CSPM utiliza un valor predeterminado de 7 días.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad y refuerzan la resiliencia de sus sistemas. Amazon RDS permite configurar instantáneas diarias del volumen de instancias completo. Para más información sobre las copias de seguridad automatizadas de Amazon RDS, consulte [Trabajo con copias de seguridad](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-11-remediation"></a>

Para habilitar copias de seguridad automatizadas para una instancia de base de datos de RDS, consulte [Habilitación de copias de seguridad automatizadas](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) en *Guía del usuario de Amazon RDS*.

## La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS
<a name="rds-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Amazon RDS tiene habilitada la autenticación de bases de datos de IAM.

La autenticación de bases de datos de IAM permite autenticar las instancias de bases de datos sin contraseña. La autenticación usa un token de autenticación. El tráfico de red hacia y desde la base de datos se cifra mediante SSL. Para obtener más información, consulte [Autenticación de bases de datos de IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) en la *Guía del usuario de Amazon Aurora*.

### Corrección
<a name="rds-12-remediation"></a>

Para habilitar la autenticación de IAM para un clúster de base de datos, consulte [Habilitar y deshabilitar la autenticación de bases de datos de IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) en la *Guía del usuario de Amazon Aurora*. 

## Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas
<a name="rds-13"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.2, CIS AWS Foundations Benchmark v3.0.0/2.3.2, NIST.800-53.r5 SI-2, NIst.800-53.r5 SI-2 (2), NISt.800-53.r5 SI-2 (4), NISt.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** alta

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las actualizaciones automáticas de las versiones secundarias están habilitadas para la instancia de base de datos de RDS.

Las actualizaciones automáticas de versiones secundarias actualizan periódicamente la base de datos a versiones recientes del motor. Sin embargo, es posible que la actualización no siempre incluya la versión más reciente del motor de base de datos. Si necesita mantener las bases de datos en versiones específicas en momentos determinados, le recomendamos que las actualice manualmente a las versiones de base de datos que necesite según el calendario requerido. En caso de problemas de seguridad críticos o cuando una versión alcance su end-of-support fecha límite, Amazon RDS podría aplicar una actualización de la versión secundaria aunque no haya activado la opción de **actualización automática de la versión secundaria**. Para obtener más información, consulte la documentación de actualización de Amazon RDS correspondiente al motor de base de datos:
+ [Actualizaciones automáticas de versiones secundarias de RDS para MariaDB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html)
+ [Actualizaciones automáticas de versiones secundarias de RDS for MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html)
+ [Actualizaciones automáticas de versiones secundarias de RDS para PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html)
+ [Versiones de Db2 en Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html)
+ [Actualizaciones de versiones secundarias de Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html)
+ [Actualizaciones del motor de base de datos de Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html)

### Corrección
<a name="rds-13-remediation"></a>

Para habilitar las actualizaciones automáticas de las versiones secundarias de una instancia de base de datos existente, consulte [Modificación de una instancia de base de datos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) en la *Guía del usuario de Amazon RDS*. Para la **actualización automática de una versión secundaria**, seleccione **Sí**.

## Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores
<a name="rds-14"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SI-13(5)

**Categoría: Recuperación > Resiliencia > Respaldos habilitados** 

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `BacktrackWindowInHours`  |  Número de horas necesarias para hacer búsquedas de datos anteriores en un clúster Aurora MySQL  |  Double  |  De `0.1` a `72`  |  Sin valor predeterminado  | 

Este control comprueba si un clúster de Amazon Aurora tiene habilitada la característica de búsqueda de datos anteriores. Se produce un error en el control si el clúster no tiene habilitada la búsqueda de datos anteriores. Si proporciona un valor personalizado para el parámetro `BacktrackWindowInHours`, el control solo pasa si la búsqueda de datos anteriores en el clúster se hace durante el periodo especificado.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. La búsqueda de datos anteriores de Aurora reduce el tiempo de recuperación de una base de datos en un punto en el tiempo. Para ello, no es necesario restaurar la base de datos.

### Corrección
<a name="rds-14-remediation"></a>

Para habilitar la búsqueda de datos anteriores de Aurora, consulte [Configuración de la búsqueda de datos anteriores](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring) en la *Guía del usuario de Amazon Aurora*.

Tenga en cuenta que no puede habilitar la búsqueda de datos anteriores en un clúster existente. En su lugar, puede crear un clon que tenga habilitado la búsqueda de datos anteriores. Para obtener más información sobre las limitaciones del búsqueda de datos anteriores de Aurora, consulte la lista de limitaciones en [Descripción general de búsqueda de datos anteriores](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html).

## Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad
<a name="rds-15"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NISt.800-53.r5 SI-13 (5)

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la alta disponibilidad está habilitada para sus clústeres de base de datos de RDS. El control falla si un clúster de base de datos de RDS no está implementado en varias zonas de disponibilidad (). AZs

Los clústeres de bases de datos de RDS deben configurarse para varios AZs a fin de garantizar la disponibilidad de los datos almacenados. La implementación en varias zonas AZs permite la conmutación por error automática en caso de que se produzca un problema de disponibilidad en las zonas de disponibilidad y durante los eventos de mantenimiento habituales del RDS.

### Corrección
<a name="rds-15-remediation"></a>

Para implementar sus clústeres de base de datos en varios AZs, [modifique una instancia de base de datos para que sea un despliegue de instancias de base de datos Multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) en la Guía del *usuario de Amazon RDS*.

Los pasos de solución son diferentes para las bases de datos globales de Aurora. Para configurar varias zonas de disponibilidad para una base de datos global de Aurora, seleccione su clúster de base de datos. A continuación, elija **Acciones** y **Añadir lector**, y especifique varios. AZs Para obtener más información, consulte [Agregar réplicas Aurora a un clúster de base de datos](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html) en la *Guía del usuario de Amazon Aurora*.

## [RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos
<a name="rds-16"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NIst.800-53.r5 CM-2 (2)

**Categoría:** Identificar - Inventario

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regla:** `rds-cluster-copy-tags-to-snapshots-enabled` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si un clúster de bases de datos de Amazon Aurora está configurado para copiar automáticamente las etiquetas en las instantáneas del clúster cuando dichas instantáneas se crean. El control falla si el clúster de bases de datos Aurora no está configurado para copiar automáticamente las etiquetas en las instantáneas del clúster cuando estas se crean.

La identificación y el inventario de sus activos de TI es un aspecto fundamental de seguridad y control. Debe tener visibilidad de todos los clústeres de bases de datos de Amazon Aurora para evaluar su posición de seguridad y tomar medidas ante posibles áreas de debilidad. Las instantáneas de bases de datos Aurora deben tener las mismas etiquetas que sus clústeres de bases de datos de origen. En Amazon Aurora, puede configurar un clúster de bases de datos para copiar automáticamente todas las etiquetas del clúster en sus instantáneas. Al habilitar este ajuste, las instantáneas de bases de datos heredan las mismas etiquetas que sus clústeres de origen.

### Corrección
<a name="rds-16-remediation"></a>

Para obtener información sobre cómo configurar un clúster de bases de datos de Amazon Aurora para copiar automáticamente las etiquetas en las instantáneas de bases de datos, consulte [Modificación de un clúster de bases de datos de Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html) en la *Guía del usuario de Amazon Aurora*.

## Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas
<a name="rds-17"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NISt.800-53.r5 CM-2 (2)

**Categoría:** Identificar - Inventario

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regla:** `rds-instance-copy-tags-to-snapshots-enabled` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las instancias de base de datos de RDS están configuradas para copiar todas las etiquetas a las instantáneas cuando se crean las instantáneas.

La identificación y el inventario de sus activos de TI es un aspecto fundamental de seguridad y control. Tiene que tener una visión de todas sus instancias de base de datos de RDS para que pueda evaluar sus posiciones de seguridad y tomar así las acciones pertinentes respecto a las posibles áreas débiles. Las instantáneas se deben etiquetar de la misma manera que las instancias de base de datos RDS principales. Al habilitar esta configuración, se garantiza que las instantáneas hereden las etiquetas de sus instancias de base de datos principales.

### Corrección
<a name="rds-17-remediation"></a>

*Para copiar automáticamente las etiquetas en las instantáneas de una instancia de base de datos de RDS, consulte [Modificación de una instancia de base de datos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) en la Guía del usuario de Amazon RDS*. Seleccione **Copiar etiquetas en instantáneas**

## Las instancias de RDS [RDS.18] deben implementarse en una VPC
<a name="rds-18"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos dentro de VPC 

**Gravedad:** alta

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regla:** `rds-deployed-in-vpc` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instancia de Amazon RDS está implementada en una VPC de EC2.

Las VPC proporcionan una serie de controles de red para proteger el acceso a los recursos de RDS. Estos controles incluyen puntos de enlace de VPC, ACL de red y grupos de seguridad. Para aprovechar estos controles, le recomendamos que cree las instancias de RDS en una VPC de EC2.

### Corrección
<a name="rds-18-remediation"></a>

Para obtener instrucciones sobre cómo mover instancias de RDS a una VPC, consulte [Actualización de la VPC de una instancia de base de datos](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.VPC2VPC.html) en la *Guía del usuario de Amazon RDS*.

## Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos
<a name="rds-19"></a>

**Requisitos relacionados:** NIST.800-53.r5 NIST.800-53.r5 CA-7 SI-2

**Categoría**: Detectar > Servicios de detección > Supervisión de aplicaciones

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::EventSubscription`

**AWS Config regla:** `rds-cluster-event-notifications-configured` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una suscripción a eventos de Amazon RDS existente para clústeres de base de datos tiene habilitadas notificaciones para los siguientes pares clave-valor de tipo de origen y categoría de evento:

```
DBCluster: ["maintenance","failure"]
```

El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.

Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte [Uso de las notificaciones de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-19-remediation"></a>

Para suscribirse a las notificaciones de eventos del clúster de RDS, consulte [Suscribirse a las notificaciones de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) en la *Guía del usuario de Amazon RDS*. Use los siguientes valores:


| Campo | Valor | 
| --- | --- | 
|  Tipo de origen  |  Clústeres  | 
|  Clústeres que se van a incluir  |  Todos los clústeres  | 
|  Categorías de eventos a incluir  |  Seleccione categorías de eventos específicas o Todas las categorías de eventos  | 

## Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos
<a name="rds-20"></a>

**Requisitos relacionados: NIST.800-53.r5 CA-7 NIST.800-53.r5** SI-2, PCI DSS v4.0.1/11.5.2

**Categoría**: Detectar > Servicios de detección > Supervisión de aplicaciones

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::EventSubscription`

**AWS Config regla:** `rds-instance-event-notifications-configured` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una suscripción a eventos de Amazon RDS existente para instancias de base de datos tiene habilitadas notificaciones para los siguientes pares clave-valor de tipo de origen y categoría de evento:

```
DBInstance: ["maintenance","configuration change","failure"]
```

El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.

Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte [Uso de las notificaciones de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-20-remediation"></a>

Para suscribirse a las notificaciones de eventos de instancias de RDS, consulte [Suscribirse a las notificaciones de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) en la *Guía del usuario de Amazon RDS*. Use los siguientes valores:


| Campo | Valor | 
| --- | --- | 
|  Tipo de origen  |  instancias  | 
|  Instancias que se van a incluir  |  Todas las instancias  | 
|  Categorías de eventos a incluir  |  Seleccione categorías de eventos específicas o Todas las categorías de eventos  | 

## Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos
<a name="rds-21"></a>

**Requisitos relacionados: NIST.800-53.r5 CA-7 NIST.800-53.r5** SI-2, PCI DSS v4.0.1/11.5.2

**Categoría**: Detectar > Servicios de detección > Supervisión de aplicaciones

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::EventSubscription`

**AWS Config regla:** `rds-pg-event-notifications-configured` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si existe una suscripción a eventos de Amazon RDS con notificaciones habilitadas para los siguientes pares clave-valor de tipo de fuente y categoría de evento. El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.

```
DBParameterGroup: ["configuration change"]
```

Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte [Uso de las notificaciones de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-21-remediation"></a>

Para suscribirse a las notificaciones de eventos del grupo de parámetros de la base de datos de RDS, consulte [Suscripción a la notificación de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) en la *Guía del usuario de Amazon RDS*. Use los siguientes valores:


| Campo | Valor | 
| --- | --- | 
|  Tipo de origen  |  Grupos de parámetros  | 
|  Grupos de parámetros que se van a incluir  |  Todos los grupos de parámetros  | 
|  Categorías de eventos a incluir  |  Seleccione categorías de eventos específicas o Todas las categorías de eventos  | 

## Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos
<a name="rds-22"></a>

**Requisitos relacionados: NIST.800-53.r5 CA-7 NIST.800-53.r5** SI-2, PCI DSS v4.0.1/11.5.2

**Categoría**: Detectar > Servicios de detección > Supervisión de aplicaciones

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::EventSubscription`

**AWS Config regla:** `rds-sg-event-notifications-configured` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si existe una suscripción a eventos de Amazon RDS con notificaciones habilitadas para los siguientes pares clave-valor de tipo de fuente y categoría de evento. El control se transfiere si no hay suscripciones a eventos existentes en su cuenta.

```
DBSecurityGroup: ["configuration change","failure"]
```

Las notificaciones de eventos de RDS utilizan Amazon SNS para informarle de los cambios en la disponibilidad o la configuración de sus recursos de RDS. Estas notificaciones permiten una respuesta rápida. Para obtener más información sobre las notificaciones de eventos de RDS, consulte [Uso de las notificaciones de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) en la *Guía del usuario de Amazon RDS*.

### Corrección
<a name="rds-22-remediation"></a>

Para suscribirse a las notificaciones de eventos de instancias de RDS, consulte [Suscribirse a las notificaciones de eventos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) en la *Guía del usuario de Amazon RDS*. Use los siguientes valores:


| Campo | Valor | 
| --- | --- | 
|  Tipo de origen  |  Grupos de seguridad  | 
|  Grupos de seguridad que se van a incluir  |  Todos los grupos de seguridad  | 
|  Categorías de eventos a incluir  |  Seleccione categorías de eventos específicas o Todas las categorías de eventos  | 

## Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos
<a name="rds-23"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regla:** `rds-no-default-ports` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster o instancia de RDS utiliza un puerto distinto del puerto predeterminado del motor de base de datos. El control falla si el clúster o la instancia de RDS utilizan el puerto predeterminado. Este control no se aplica a las instancias de RDS que forman parte de un clúster.

Si utiliza un puerto conocido para implementar un clúster o una instancia de RDS, un atacante puede adivinar la información sobre el clúster o la instancia. El atacante puede usar esta información junto con otra información para conectarse a un clúster o instancia de RDS u obtener información adicional sobre la aplicación.

Al cambiar el puerto, también debe actualizar las cadenas de conexión existentes que se utilizaron para conectarse al puerto anterior. También debe comprobar el grupo de seguridad de la instancia de base de datos para asegurarse de que incluye una regla de entrada que permita la conectividad en el nuevo puerto.

### Corrección
<a name="rds-23-remediation"></a>

Para modificar el puerto predeterminado de una instancia de base de datos de RDS existente, consulte [Modificación de una instancia de base de datos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) en la *Guía del usuario de Amazon RDS*. Para modificar el puerto predeterminado de un clúster de base de datos de RDS existente, consulte [Modificación del clúster de base de datos mediante la consola, la CLI y la API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) en la *Guía del usuario de Amazon Aurora*. Para el **Puerto de base de datos**, cambie el valor del puerto por un valor que no sea el predeterminado.

## Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado
<a name="rds-24"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** `[rds-cluster-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-default-admin-check.html)`

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de Amazon RDS ha cambiado el nombre de usuario de administrador con respecto a su valor predeterminado. El control no se aplica a los motores del tipo neptune (Neptune DB) o docdb (DocumentDB). Esta regla fallará si el nombre de usuario del administrador está establecido en el valor predeterminado.

Al crear una base de datos de Amazon RDS, debe cambiar el nombre de usuario de administrador predeterminado por un valor único. Los nombres de usuario predeterminados son de dominio público y deben cambiarse durante la creación de la base de datos de RDS. Cambiar los nombres de usuario predeterminados reduce el riesgo de accesos no deseados.

### Corrección
<a name="rds-24-remediation"></a>

Para cambiar el nombre de usuario de administrador asociado al clúster de base de datos de Amazon RDS, [cree un nuevo clúster de base de datos de RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html) y cambie el nombre de usuario de administrador predeterminado al crear la base de datos.

## Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado
<a name="rds-25"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** `[rds-instance-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-default-admin-check.html)`

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si ha cambiado el nombre de usuario administrativo de las instancias de base de datos de Amazon Relational Database Service (Amazon RDS) con respecto al valor predeterminado. El control falla si el nombre de usuario administrativo está establecido en el valor predeterminado. El control no se aplica a motores del tipo Neptune (Neptune-DB) o DocDB (DocumentDB), ni a las instancias de RDS que forman parte de un clúster. 

Los nombres de usuario administrativos predeterminados en las bases de datos de Amazon RDS son de dominio público. Al crear una base de datos de Amazon RDS, debe cambiar el nombre de usuario administrativo predeterminado por un valor único para reducir el riesgo de accesos no deseados.

### Corrección
<a name="rds-25-remediation"></a>

Para cambiar el nombre de usuario administrativo asociado a una instancia de base de datos de RDS, [cree primero una nueva instancia de base de datos de RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html). Cambie el nombre de usuario administrativo predeterminado al crear la base de datos.

## Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad
<a name="rds-26"></a>

**Categoría: Recuperación > Resiliencia > Respaldos habilitados**

**Requisitos relacionados: (2), NiSt.800-53.r5 SI-12, NiSt.800-53.r5 SI-13 (5)** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html)**``

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  El control produce un `PASSED` resultado si el parámetro está establecido en true y el recurso utiliza AWS Backup Vault Lock.  |  Booleano  |  `true` o `false`  |  Sin valor predeterminado  | 

Este control evalúa si las instancias de base de datos de Amazon RDS están cubiertas por un plan de copias de seguridad. Se produce un error en este control si la instancia de base de datos de RDS no está cubierta por un plan de copias de seguridad. Si establece el `backupVaultLockCheck` parámetro en un valor igual a`true`, el control solo se activará si la instancia está guardada en una bóveda AWS Backup cerrada con llave.

**nota**  
Este control no evalúa las instancias de Neptune ni las de DocumentDB. Tampoco evalúa las instancias de bases de datos de RDS que son miembros de un clúster.

AWS Backup es un servicio de copias de seguridad totalmente gestionado que centraliza y automatiza las copias de seguridad de todos los datos. Servicios de AWS Con él AWS Backup, puede crear políticas de respaldo denominadas planes de respaldo. Puede utilizar estos planes para definir los requisitos de copia de seguridad, como la frecuencia con la que se va a realizar la copia de seguridad de los datos y el tiempo durante el que se van a conservar esas copias de seguridad. La inclusión de instancias de base de datos de RDS en un plan de copias de seguridad le ayuda a proteger sus datos contra pérdidas o eliminaciones involuntarias.

### Corrección
<a name="rds-26-remediation"></a>

Para añadir una instancia de base de datos de RDS a un plan de AWS Backup respaldo, consulte [Asignación de recursos a un plan de respaldo](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) en la Guía para *AWS Backup desarrolladores*.

## Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
<a name="rds-27"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos de RDS está cifrado en reposo. El control falla si un clúster de base de datos de RDS no está cifrado en reposo.

Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado pueda acceder a ellos. El cifrado de los clústeres de bases de datos de RDS protege sus datos y metadatos contra el acceso no autorizado. También cumple con los requisitos de conformidad para el data-at-rest cifrado de los sistemas de archivos de producción.

### Corrección
<a name="rds-27-remediation"></a>

Puede habilitar el cifrado en reposo al crear un clúster de base de datos de RDS. No se puede cambiar la configuración de cifrado después de crear un clúster. Para obtener más información, consulte [Cifrado de un clúster de base de datos de Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html#Overview.Encryption.Enabling) en la *Guía del usuario de Amazon Aurora*.

## [RDS.28] Los clústeres de base de datos de RDS deben etiquetarse
<a name="rds-28"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regla:** `tagged-rds-dbcluster` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un clúster de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el clúster de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el clúster de base de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="rds-28-remediation"></a>

Para agregar etiquetas a un clúster de base de datos de RDS, consulte [Etiquetado de los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse
<a name="rds-29"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBClusterSnapshot`

**AWS Config regla:** `tagged-rds-dbclustersnapshot` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una instantánea de clúster de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la instantánea de clúster de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instantánea de clúster de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="rds-29-remediation"></a>

Para agregar etiquetas a la instantánea de clúster de base de datos de RDS, consulte [Etiquetado de los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.30] Las instancias de bases de datos de RDS deben etiquetarse
<a name="rds-30"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBInstance`

**AWS Config regla:** `tagged-rds-dbinstance` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una instancia de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la instancia de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instancia de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="rds-30-remediation"></a>

Para agregar etiquetas a una instancia de base de datos de RDS, consulte [Etiquetado de los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
<a name="rds-31"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBSecurityGroup`

**AWS Config regla:** `tagged-rds-dbsecuritygroup` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un grupo de seguridad de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el grupo de seguridad de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de seguridad de base de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="rds-31-remediation"></a>

Para agregar etiquetas a un grupo de seguridad de base de datos de RDS, consulte [Etiquetado de los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse
<a name="rds-32"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBSnapshot`

**AWS Config regla:** `tagged-rds-dbsnapshot` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una instantánea de base de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la instantánea de base de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instantánea de base de datos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="rds-32-remediation"></a>

Para agregar una instantánea de base de datos de RDS, consulte [Etiquetado de los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse
<a name="rds-33"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBSubnetGroup`

**AWS Config regla:** `tagged-rds-dbsubnetgroups` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un grupo de subredes de bases de datos de Amazon RDS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el grupo de subredes de bases de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de subredes de bases de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="rds-33-remediation"></a>

Para agregar etiquetas a un grupo de subredes de bases de datos de RDS, consulte [Etiquetado de los recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch
<a name="rds-34"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos Amazon Aurora MySQL está configurado para publicar registros de auditoría en Amazon CloudWatch Logs. El control falla si el clúster no está configurado para publicar los registros de auditoría en CloudWatch Logs. El control no genera resultados para los clústeres de base de datos Aurora sin servidor v1.

Los registros de auditoría recopilan un registro de la actividad de la base de datos, incluidos los intentos de inicio de sesión, las modificaciones de datos, los cambios de esquema y otros eventos que se pueden auditar por motivos de seguridad y conformidad. Al configurar un clúster de base de datos Aurora MySQL para publicar registros de auditoría en un grupo de CloudWatch registros de Amazon Logs, puede realizar un análisis en tiempo real de los datos de registro. CloudWatch Logs conserva los registros en un almacenamiento de alta duración. También puede crear alarmas y ver las métricas en CloudWatch.

**nota**  
Una forma alternativa de publicar los registros de auditoría en CloudWatch Logs consiste en habilitar la auditoría avanzada y configurar el parámetro de base de datos a nivel de clúster en. `server_audit_logs_upload` `1` El valor predeterminado de `server_audit_logs_upload parameter` es `0`. Sin embargo, le recomendamos que utilice las siguientes instrucciones de corrección para pasar este control.

### Corrección
<a name="rds-34-remediation"></a>

Para publicar los registros de auditoría del clúster de base de datos Aurora MySQL en CloudWatch Logs, consulte [Publicar registros de Amazon Aurora MySQL en Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) en la *Guía del usuario de Amazon Aurora*.

## Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias
<a name="rds-35"></a>

**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la actualización automática de la versión secundaria está habilitada para un clúster de base de datos de Amazon RDS Multi-AZ. El control lanza un error si la actualización automática de la versión secundaria no está habilitada para un clúster de base de datos en varias zonas de disponibilidad.

RDS proporciona la actualización automática de las versiones secundarias para que pueda mantener actualizado el clúster de base de datos en varias zonas de disponibilidad. Las versiones secundarias pueden introducir nuevas funciones de software, correcciones de errores, parches de seguridad y mejoras de rendimiento. Al habilitar la actualización automática de las versiones secundarias en los clústeres de bases de datos de RDS, el clúster, junto con las instancias del clúster, recibirá actualizaciones automáticas de la versión secundaria cuando haya nuevas versiones disponibles. Las actualizaciones se aplican automáticamente durante el período de mantenimiento.

### Corrección
<a name="rds-35-remediation"></a>

Para habilitar la actualización automática de las versiones secundarias en clústeres de bases de datos en varias zonas de disponibilidad, consulte [Modificación de un clúster de base de datos Multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/modify-multi-az-db-cluster.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch
<a name="rds-36"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Lista separada por comas de los tipos de registro que se van a publicar en Logs CloudWatch   |  StringList  |  No personalizable  |  `postgresql`  | 

Este control comprueba si una instancia de base de datos de Amazon RDS for PostgreSQL está configurada para publicar registros en Amazon Logs. CloudWatch El control falla si la instancia de base de datos PostgreSQL no está configurada para publicar los tipos de registro mencionados en `logTypes` el parámetro en Logs. CloudWatch 

El registro de base de datos proporciona detalles sobre las solicitudes realizadas a una instancia de RDS. PostgreSQL genera registros de eventos que contienen información útil para los administradores. La publicación de estos registros en CloudWatch Logs centraliza la administración de registros y le ayuda a realizar un análisis de los datos de registro en tiempo real. CloudWatch Logs retiene los registros en un almacenamiento muy duradero. También puede crear alarmas y ver las métricas enCloudWatch.

### Corrección
<a name="rds-36-remediation"></a>

*Para publicar registros de instancias de base de datos de PostgreSQL en Logs, consulte CloudWatch [Publicar registros de PostgreSQL en Amazon Logs en la Guía del usuario de CloudWatch Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.Concepts.PostgreSQL.PublishtoCloudWatchLogs).*

## [RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch
<a name="rds-37"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de base de datos PostgreSQL de Amazon Aurora está configurado para publicar registros en Amazon Logs. CloudWatch El control falla si el clúster de base de datos Aurora PostgreSQL no está configurado para publicar registros de PostgreSQL en Logs. CloudWatch 

El registro de base de datos proporciona detalles sobre las solicitudes realizadas a un clúster de RDS. Aurora PostgreSQL genera registros de eventos que contienen información útil para los administradores. La publicación de estos registros en CloudWatch Logs centraliza la administración de registros y le ayuda a realizar análisis en tiempo real de los datos de registro. CloudWatch Logs retiene los registros en un almacenamiento muy duradero. También puede crear alarmas y ver las métricas en CloudWatch.

### Corrección
<a name="rds-37-remediation"></a>

*Para publicar los registros del clúster de base de datos Aurora PostgreSQL en Logs, consulte CloudWatch Publicar registros de [Aurora PostgreSQL en Amazon Logs en la Guía del usuario de CloudWatch Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.CloudWatch.html).*

## [RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
<a name="rds-38"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si una conexión a una instancia Amazon RDS for PostgreSQL de base de datos (DB) está cifrada en tránsito. El control falla si el parámetro `rds.force_ssl`, correspondiente al grupo de parámetros asociado con la instancia, está configurado en `0` (desactivado). Este control no evalúa las instancias de bases de datos de RDS que forman parte de un clúster de bases de datos.

Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.

### Corrección
<a name="rds-38-remediation"></a>

Para exigir que todas las conexiones a la instancia de base de datos RDS para PostgreSQL usen SSL, consulte [Uso de SSL con una instancia de base de datos PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/PostgreSQL.Concepts.General.SSL.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
<a name="rds-39"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si una conexión a una instancia Amazon RDS for MySQL de base de datos (DB) está cifrada en tránsito. El control falla si el parámetro `rds.require_secure_transport`, correspondiente al grupo de parámetros asociado con la instancia, está configurado en `0` (desactivado). Este control no evalúa las instancias de bases de datos de RDS que forman parte de un clúster de bases de datos.

Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.

### Corrección
<a name="rds-39-remediation"></a>

Para exigir que todas las conexiones a la instancia de base de datos de RDS para MySQL usen SSL, consulte [Compatibilidad con SSL/TLS para instancias de bases de datos MySQL en Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/MySQL.Concepts.SSLSupport.html) en la *Guía del usuario de Amazon RDS*.

## [RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch
<a name="rds-40"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIst.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIst.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Una lista de los tipos de registros que una instancia de base de datos de RDS para SQL Server debe configurarse para publicar en Logs. CloudWatch Este control falla si una instancia de base de datos no está configurada para publicar un tipo de registro especificado en la lista.  |  EnumList (máximo de 2 elementos)  |  `agent`, `error`  |  `agent`, `error`  | 

Este control comprueba si una instancia de base de datos de Amazon RDS for Microsoft SQL Server está configurada para publicar registros en CloudWatch Amazon Logs. El control falla si la instancia de base de datos de RDS para SQL Server no está configurada para publicar registros en Logs. CloudWatch Puede indicar, si así lo desea, los tipos de registros que la instancia de base de datos debe publicar.

El registro de base de datos proporciona registros detallados de las solicitudes hechas a una instancia de base de datos de Amazon RDS. La publicación de registros en CloudWatch Logs centraliza la administración de registros y le ayuda a realizar análisis de los datos de registro en tiempo real. CloudWatch Logs conserva los registros en un almacenamiento muy duradero. Además, esta capacidad permite configurar alarmas para errores que puedan presentarse, como reinicios frecuentes registrados en el registro de errores. Del mismo modo, puede configurar alarmas para errores o advertencias registrados en los registros del agente de SQL Server relacionados con trabajos del agente de SQL.

### Corrección
<a name="rds-40-remediation"></a>

Para obtener información sobre la publicación de registros en CloudWatch los registros de una instancia de base de datos de RDS para SQL Server, consulte los archivos de [registro de bases de datos de Amazon RDS para Microsoft SQL Server en *la Guía del usuario de Amazon Relational* Database](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.SQLServer.html) Service.

## [RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
<a name="rds-41"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si la conexión a una instancia de base de datos de Amazon RDS para Microsoft SQL Server está cifrada en tránsito. El control falla si el parámetro `rds.force_ssl` del grupo de parámetros asociado con la instancia está configurado en `0 (off)`.

Los datos en tránsito corresponden a datos que se desplazan de un lugar a otro, por ejemplo, entre nodos dentro de un clúster de bases de datos o entre un clúster de base de datos y una aplicación cliente. Los datos se pueden trasladar por Internet o dentro de una red privada. Cifrar los datos en tránsito reduce el riesgo de que usuarios no autorizados intercepten el tráfico de red.

### Corrección
<a name="rds-41-remediation"></a>

Para obtener información sobre cómo habilitar SSL/TLS las conexiones a instancias de base de datos de Amazon RDS que ejecutan Microsoft SQL Server, consulte [Uso de SSL con una instancia de base de datos de Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.html) en la Guía del usuario de *Amazon Relational Database Service*.

## [RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch
<a name="rds-42"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 (10) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NiSt.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html](https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Una lista de los tipos de registros que una instancia de base de datos de MariaDB debe configurarse para publicar en Logs. CloudWatch El control genera un resultado `FAILED` si la instancia no está configurada para publicar alguno de los tipos de registros especificados en la lista.  |  EnumList (máximo de 4 elementos)  |  `audit`, `error`, `general`, `slowquery`  |  `audit, error`  | 

Este control comprueba si una instancia de base de datos Amazon RDS for MariaDB está configurada para publicar determinados tipos de registros en Amazon Logs. CloudWatch El control falla si la instancia de base de datos MariaDB no está configurada para publicar los registros en Logs. CloudWatch Puede indicar, si así lo desea, los tipos de registros que la instancia de MariaDB debe publicar.

El registro de base de datos proporciona información detallada sobre las solicitudes realizadas a una instancia de Amazon RDS para MariaDB. La publicación de registros en Amazon CloudWatch Logs centraliza la administración de registros y le ayuda a realizar análisis en tiempo real de los datos de registro. Además, CloudWatch Logs conserva los registros en un almacenamiento duradero, lo que permite realizar revisiones y auditorías de seguridad, acceso y disponibilidad. Con CloudWatch Logs, también puede crear alarmas y revisar las métricas.

### Corrección
<a name="rds-42-remediation"></a>

*Para obtener información sobre cómo configurar una instancia de base de datos Amazon RDS for MariaDB para publicar registros en Amazon Logs, [consulte Publicar registros de MariaDB en CloudWatch Amazon Logs en la Guía CloudWatch del usuario de Amazon Relational](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MariaDB.PublishtoCloudWatchLogs.html) Database Service.*

## [RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
<a name="rds-43"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBProxy`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si un proxy de bases de datos de Amazon RDS exige TLS para todas las conexiones entre el proxy y la instancia de base de datos de RDS subyacente. El control falla si el proxy no exige TLS para todas las conexiones entre el proxy y la instancia de base de datos de RDS.

Amazon RDS Proxy puede actuar como una capa adicional de seguridad entre las aplicaciones cliente y las instancias de bases de datos de RDS subyacentes. Por ejemplo, se puede conectar a un proxy de RDS con TLS 1.3, incluso si la instancia de base de datos subyacente solo admite una versión anterior de TLS. Al utilizar RDS Proxy, puede imponer requisitos estrictos de autenticación para las aplicaciones de base de datos.

### Corrección
<a name="rds-43-remediation"></a>

Para obtener información sobre cómo modificar la configuración de un proxy de Amazon RDS para exigir TLS, consulte la [Modificación de un proxy de RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-modifying-proxy.html) en la *Guía del usuario de Amazon Relational Database Service*.

## [RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
<a name="rds-44"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si las conexiones a una instancia de base de datos de Amazon RDS para MariaDB están cifradas en tránsito. El control falla si el grupo de parámetros de base de datos asociado con la instancia de base de datos no está sincronizado o si el parámetro `require_secure_transport` del grupo de parámetros no está configurado en `ON`.

**nota**  
Este control no evalúa instancias de bases de datos de Amazon RDS que utilizan versiones de MariaDB anteriores a la versión 10.5. El parámetro `require_secure_transport` se admite únicamente para versiones de MariaDB 10.5 y posteriores.

Los datos en tránsito corresponden a datos que se desplazan de un lugar a otro, por ejemplo, entre nodos dentro de un clúster de bases de datos o entre un clúster de base de datos y una aplicación cliente. Los datos se pueden trasladar por Internet o dentro de una red privada. Cifrar los datos en tránsito reduce el riesgo de que usuarios no autorizados intercepten el tráfico de red.

### Corrección
<a name="rds-44-remediation"></a>

*Para obtener información sobre cómo habilitar SSL/TLS las conexiones a una instancia de base de datos de Amazon RDS para MariaDB[, SSL/TLS consulte Obligaciones para todas las conexiones a una instancia de base de datos de MariaDB en la Guía del usuario de Amazon Relational](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mariadb-ssl-connections.require-ssl.html) Database Service.*

## [RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría
<a name="rds-45"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIst.800-53.r5 SI-3 (8), NIst.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si un clúster de bases de datos de Amazon Aurora MySQL tiene habilitado el registro de auditoría. El control falla si el grupo de parámetros de base de datos asociado al clúster de base de datos no está sincronizado, si el parámetro `server_audit_logging` no está configurado en `1` o si el parámetro `server_audit_events` está configurado en un valor vacío.

Los registros de bases de datos pueden ayudar con auditorías de seguridad y acceso, y contribuir al diagnóstico de problemas de disponibilidad. Los registros de auditoría recopilan un registro de la actividad de la base de datos, incluidos los intentos de inicio de sesión, las modificaciones de datos, los cambios de esquema y otros eventos que se pueden auditar por motivos de seguridad y conformidad.

### Corrección
<a name="rds-45-remediation"></a>

Para obtener información sobre cómo habilitar el registro en un clúster de base de datos Amazon Aurora MySQL, consulte [Publicar registros de Amazon Aurora MySQL en Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) en la *Guía del usuario de Amazon Aurora*.

## [RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet
<a name="rds-46"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::RDS::DBInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si una instancia de base de datos de Amazon RDS está implementada en una subred pública que tiene una ruta hacia una puerta de enlace de Internet. El control falla si la instancia de base de datos de RDS está implementada en una subred que tiene una ruta hacia una puerta de enlace de Internet y el destino está configurado en `0.0.0.0/0` o `::/0`.

Al aprovisionar los recursos de Amazon RDS en subredes privadas, puede evitar que los recursos de RDS reciban tráfico entrante desde Internet pública, lo cual puede prevenir accesos no intencionados a las instancias de bases de datos de RDS. Si los recursos de RDS se aprovisionan en una subred pública que está abierta a Internet, estos podrían ser vulnerables a riesgos como la filtración de datos.

### Corrección
<a name="rds-46-remediation"></a>

Para obtener información sobre cómo aprovisionar una subred privada para una instancia de base de datos de Amazon RDS, consulte la [Uso de una instancia de base de datos en una VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html) en la *Guía del usuario de Amazon Relational Database Service*.

## [RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos
<a name="rds-47"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si un clúster de bases de datos de Amazon RDS para PostgreSQL está configurado para copiar etiquetas automáticamente en las instantáneas del clúster de base de datos cuando estas se crean. El control falla si el parámetro `CopyTagsToSnapshot` está configurado en `false` para el clúster de bases de datos de RDS para PostgreSQL.

Copiar etiquetas en las instantáneas de bases de datos ayuda a mantener un seguimiento adecuado de recursos, una gobernanza correcta y una asignación de costos apropiada entre los recursos de copia de seguridad. Esto permite una identificación coherente de recursos, control de acceso y supervisión de cumplimiento tanto en las bases de datos activas como en sus instantáneas. Las instantáneas etiquetadas correctamente mejoran las operaciones de seguridad al garantizar que los recursos de copia de seguridad hereden los mismos metadatos que sus bases de datos de origen.

### Corrección
<a name="rds-47-remediation"></a>

Para obtener información sobre cómo configurar un clúster de bases de datos de Amazon RDS para PostgreSQL para copiar etiquetas automáticamente en las instantáneas de bases de datos, consulte la [Etiquetado de recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon Relational Database Service*.

## [RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos
<a name="rds-48"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si un clúster de bases de datos de Amazon RDS para MySQL está configurado para copiar etiquetas automáticamente en las instantáneas del clúster de base de datos cuando estas se crean. El control falla si el parámetro `CopyTagsToSnapshot` está configurado en `false` para el clúster de bases de datos de RDS para MySQL.

Copiar etiquetas en las instantáneas de bases de datos ayuda a mantener un seguimiento adecuado de recursos, una gobernanza correcta y una asignación de costos apropiada entre los recursos de copia de seguridad. Esto permite una identificación coherente de recursos, control de acceso y supervisión de cumplimiento tanto en las bases de datos activas como en sus instantáneas. Las instantáneas etiquetadas correctamente mejoran las operaciones de seguridad al garantizar que los recursos de copia de seguridad hereden los mismos metadatos que sus bases de datos de origen.

### Corrección
<a name="rds-48-remediation"></a>

Para obtener información sobre cómo configurar un clúster de bases de datos de Amazon RDS para MySQL para copiar etiquetas automáticamente en las instantáneas de bases de datos, consulte [Etiquetado de recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) en la *Guía del usuario de Amazon Relational Database Service*.

## [RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente
<a name="rds-50"></a>

**Categoría: Recuperación > Resiliencia > Respaldos habilitados** 

**Gravedad:** media

**Tipo de recurso:** `AWS::RDS::DBCluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  El período mínimo de retención de copias de seguridad en días que debe comprobar el control  |  Entero  |  De `7` a `35`  |  `7`  | 

Este control comprueba si un clúster de base de datos de RDS tiene un período mínimo de retención de copias de seguridad. El control falla si el período de retención de la copia de seguridad es inferior al valor del parámetro especificado. A menos que proporciones un valor de parámetro personalizado, Security Hub usa un valor predeterminado de 7 días.

Este control comprueba si un clúster de base de datos de RDS tiene un período mínimo de retención de copias de seguridad. El control falla si el período de retención de la copia de seguridad es inferior al valor del parámetro especificado. A menos que proporciones un valor de parámetro de cliente, Security Hub utiliza un valor predeterminado de 7 días. Este control se aplica a todos los tipos de clústeres de bases de datos de RDS, incluidos el clúster de base de datos Aurora, los clústeres de DocumentDB, los clústeres de NeptuneDB, etc.

### Corrección
<a name="rds-50-remediation"></a>

Para configurar el período de retención de la copia de seguridad para un clúster de base de datos de RDS, modifique la configuración del clúster y establezca el período de retención de la copia de seguridad en al menos 7 días (o el valor especificado en el parámetro de control). Para obtener instrucciones detalladas, consulte el [período de retención de Backup](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.BackupRetention.html) en la Guía del *usuario de Amazon Relational Database Service*. Para los clústeres de base [de datos Aurora, consulte Información general sobre cómo realizar copias de seguridad y restaurar un clúster](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Backups.html) de base de datos *Aurora en la Guía del usuario de Amazon Aurora para Aurora*. Para otros tipos de clústeres de bases de datos (por ejemplo, clústeres de DocumentDB), consulte la guía del usuario del servicio correspondiente para saber cómo actualizar el período de retención de la copia de seguridad del clúster. 

# Controles CSPM de Security Hub para Amazon Redshift
<a name="redshift-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Redshift. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
<a name="redshift-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno 

Este control comprueba si los clústeres de Amazon Redshift son de acceso público. Evalúa el campo `PubliclyAccessible` del elemento de configuración del clúster. 

El atributo de la configuración del clúster de Amazon Redshift `PubliclyAccessible` indica si el clúster es de acceso público. Si el clúster se configuró con `PubliclyAccessible` en `true`, se trata de una instancia orientada a Internet con un nombre DNS que se puede resolver públicamente y que se resuelve en una dirección IP pública.

Cuando el clúster no es accesible públicamente, se trata de una instancia interna con un nombre DNS que se resuelve en una dirección IP privada. A menos que desee que su clúster sea de acceso público, el clúster no debe configurarse con el valor `PubliclyAccessible` establecido como `true`.

### Corrección
<a name="redshift-1-remediation"></a>

Para actualizar un clúster de Amazon Redshift para inhabilitar el acceso público, consulte [Modificación de un clúster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) en la *Guía de administración de Amazon Redshift*. Establezca **Accesible públicamente** en **No**.

## Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
<a name="redshift-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las conexiones a los clústeres de Amazon Redshift son necesarias para utilizar el cifrado en tránsito. La comprobación no se realiza correctamente si el parámetro de clúster de Amazon Redshift `require_SSL` no se ha establecido como `True`.

El TLS se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de TLS. El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS. 

### Corrección
<a name="redshift-2-remediation"></a>

Para actualizar un grupo de parámetros de Amazon Redshift para que requiera el cifrado, consulte [Modificación de un grupo de parámetros](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify) en la *Guía de administración de Amazon Redshift*. Establecer `require_ssl` como **True**.

## Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
<a name="redshift-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), (10), NISt.800-53.r5 SI-13 NIST.800-53.r5 SC-7 (5)

**Categoría: Recuperación > Resiliencia > Respaldos habilitados** 

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `​MinRetentionPeriod`  |  Periodo mínimo de retención de instantáneas en días  |  Entero  |  De `7` a `35`  |  `7`  | 

Este control comprueba si un clúster de Amazon Redshift tiene habilitadas las instantáneas automatizadas y si el periodo de retención es superior o igual al periodo especificado. Se produce un error en el control si las instantáneas automatizadas no están habilitadas para el clúster o si el periodo de retención es inferior al periodo especificado. A menos que proporciones un valor de parámetro personalizado para el período de retención de instantáneas, Security Hub CSPM utiliza un valor predeterminado de 7 días.

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. Refuerzan la resiliencia de sus sistemas. Amazon Redshift toma instantáneas periódicas de forma predeterminada. Este control comprueba si las instantáneas automáticas están habilitadas y conservadas durante al menos siete días. Para obtener más información sobre las instantáneas automatizadas de Amazon Redshift, consulte [Instantáneas automatizadas](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots) en la *Guía de administración de Amazon Redshift*.

### Corrección
<a name="redshift-3-remediation"></a>

Para actualizar el período de retención de instantáneas de un clúster de Amazon Redshift, consulte [Modificación de un clúster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) en la *Guía de administración de Amazon Redshift*. Para **Copia de seguridad**, establezca la **Retención de instantáneas** en un valor de 7 o superior.

## Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría
<a name="redshift-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 (8), niST.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster`

**AWS Config regla:** `redshift-cluster-audit-logging-enabled` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno 

Este control comprueba si un clúster de Amazon Redshift tiene activado el registro de auditoría.

El registro de auditoría de Amazon Redshift proporciona información adicional acerca de las conexiones y las actividades de los usuarios en su clúster. Estos datos se pueden almacenar y proteger en Amazon S3 y pueden ser útiles en las auditorías e investigaciones de seguridad. Para obtener más información, consulte [Registro de auditoría de base de datos](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html) en la *Guía de administración de Amazon Redshift*.

### Corrección
<a name="redshift-4-remediation"></a>

Para configurar el registro de auditoría para un clúster de Amazon Redshift, consulte [Configuración de la auditoría mediante la consola](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html) en la *Guía de administración de Amazon Redshift*.

## Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales
<a name="redshift-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-2, NIst.800-53.r5 SI-2 (2), NISt.800-53.r5 SI-2 (4), NISt.800-53.r5 SI-2 (5)

**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `allowVersionUpgrade = true` (no personalizable)

Este control comprueba si las actualizaciones automáticas de las versiones principales están habilitadas para el clúster de Amazon Redshift.

La activación de las actualizaciones automáticas de las versiones principales garantiza que las últimas actualizaciones de las versiones principales de los clústeres de Amazon Redshift se instalen durante el período de mantenimiento. Estas actualizaciones pueden incluir parches de seguridad y correcciones de errores. Mantenerse al día con la instalación de los parches es un paso importante para proteger los sistemas.

### Corrección
<a name="redshift-6-remediation"></a>

Para solucionar este problema AWS CLI, utilice el comando Amazon `modify-cluster` Redshift y `--allow-version-upgrade` defina el atributo. `clustername`es el nombre de su clúster de Amazon Redshift.

```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```

## Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
<a name="redshift-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Categoría:** Proteger > Configuración de red segura > Acceso privado a la API

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon Redshift ha habilitado `EnhancedVpcRouting`.

El Enhanced VPC Routing fuerza a todo `COPY` y el tráfico de `UNLOAD` entre el clúster y los repositorios de datos para que pase a través de su VPC. A continuación, puede utilizar las funciones de la VPC, como los grupos de seguridad y las listas de control de acceso a la red, para proteger el tráfico de la red. También puede usar Registros de flujo de VPC para monitorear el tráfico de red.

### Corrección
<a name="redshift-7-remediation"></a>

Para obtener instrucciones de corrección detalladas, consulte [Habilitar el enrutamiento de VPC mejorado](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html) en la *Guía de administración de Amazon Redshift*.

## Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado
<a name="redshift-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un clúster de Amazon Redshift ha cambiado el nombre de usuario de administrador con respecto a su valor predeterminado. Este control fallará si el nombre de usuario de administrador de un clúster de Redshift se ha establecido como `awsuser`.

Al crear un clúster de Redshift, debe cambiar el nombre de usuario de administrador predeterminado por un valor único. Los nombres de usuario predeterminados son de dominio público y deben cambiarse al configurarlos. Cambiar los nombres de usuario predeterminados reduce el riesgo de accesos no deseados.

### Corrección
<a name="redshift-8-remediation"></a>

No se puede cambiar el nombre de usuario de administración de su clúster de Amazon Redshift después de crearlo. Para crear un clúster nuevo con un nombre de usuario que no sea el predeterminado, consulte [Paso 1: crear un clúster de Amazon Redshift de muestra](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html) en la *Guía de introducción a Amazon Redshift*.

## Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
<a name="redshift-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los clústeres de Amazon Redshift están cifrados en reposo. El control falla si un clúster de Redshift no está cifrado en reposo o si la clave de cifrado es diferente de la clave proporcionada en el parámetro de la regla.

En Amazon Redshift, puede activar el cifrado de la base de datos de los clústeres para proteger los datos en reposo. Cuando activa el cifrado para un clúster, se cifran los bloques de datos y metadatos del sistema para el clúster y sus instantáneas. El cifrado de los datos en reposo es una práctica recomendada, ya que añade una capa de administración del acceso a los datos. El cifrado de los clústeres de Redshift en reposo reduce el riesgo de que un usuario no autorizado pueda acceder a los datos almacenados en el disco.

### Corrección
<a name="redshift-10-remediation"></a>

Para modificar un clúster de Redshift para que utilice el cifrado de KMS, consulte [Cambiar el cifrado de clústeres](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html) en la *Guía de administración de Amazon Redshift*.

## [Redshift.11] Los clústeres de Redshift deben etiquetarse
<a name="redshift-11"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Redshift::Cluster`

**AWS Config regla:** `tagged-redshift-cluster` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el clúster no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="redshift-11-remediation"></a>

Para agregar etiquetas a un clúster de Redshift, consulte [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.

## [Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse
<a name="redshift-12"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Redshift::EventSubscription`

**AWS Config regla:** `tagged-redshift-eventsubscription` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una instantánea del clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la instantánea del clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instantánea de clúster no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="redshift-12-remediation"></a>

Para agregar etiquetas a una suscripción a notificaciones de eventos de Redshift, consulte [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.

## [Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse
<a name="redshift-13"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Redshift::ClusterSnapshot`

**AWS Config regla:** `tagged-redshift-clustersnapshot` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una instantánea del clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la instantánea del clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instantánea de clúster no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="redshift-13-remediation"></a>

Para agregar etiquetas a la instantánea del clúster de Redshift, consulte [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.

## [Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse
<a name="redshift-14"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config regla:** `tagged-redshift-clustersubnetgroup` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un grupo de subredes del clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el grupo de subredes del clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de subredes del clúster no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="redshift-14-remediation"></a>

Para agregar etiquetas a un grupo de subredes del clúster de Redshift, consulte [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.

## [Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos
<a name="redshift-15"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/1.3.1

**Categoría:** Proteger > Configuración de red segura > Configuración de grupos de seguridad

**Gravedad:** alta

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un grupo de seguridad asociado a un clúster de Amazon Redshift ha establecido reglas de entrada que permiten acceder al puerto del clúster desde Internet (0.0.0.0/0 o ::/0). El control lanza un error si las reglas de entrada del grupo de seguridad permiten el acceso al puerto del clúster desde Internet.

Permitir el acceso al puerto del clúster de Redshift (dirección IP con el sufijo /0) sin restricciones puede provocar un acceso no autorizado o incidentes de seguridad. Recomendamos aplicar el principio de acceso con privilegio mínimo al crear grupos de seguridad y configurar las reglas de entrada.

### Corrección
<a name="redshift-15-remediation"></a>

Para restringir la entrada en el puerto del clúster de Redshift a orígenes restringidos, consulte [Trabajar con reglas del grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) en la *Guía del usuario de Amazon VPC*. Actualice las reglas en las que el rango de puertos coincida con el puerto del clúster de Redshift y el rango de puertos IP sea 0.0.0.0/0.

## [Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad
<a name="redshift-16"></a>

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::ClusterSubnetGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si un grupo de subredes de un clúster de Amazon Redshift tiene subredes de más de una zona de disponibilidad (AZ). El control falla si el grupo de subredes del clúster no tiene subredes de al menos dos subredes diferentes. AZs

La configuración de subredes en varias redes AZs ayuda a garantizar que su almacén de datos de Redshift pueda seguir funcionando incluso cuando se produzcan fallos.

### Corrección
<a name="redshift-16-remediation"></a>

*Para modificar un grupo de subredes de clústeres de Redshift para que abarque varios AZs, consulte [Modificación de un grupo de subredes de clústeres en la Guía de administración](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html) de Amazon Redshift.*

## [Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
<a name="redshift-17"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Redshift::ClusterParameterGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control verifica si un grupo de parámetros de clúster de Amazon Redshift tiene las claves de etiquetas especificadas por el parámetro `requiredKeyTags`. El control falla si el grupo de parámetros no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica valores para el parámetro `requiredKeyTags`, el control verifica únicamente la existencia de una clave de etiqueta y falla si el grupo de parámetros no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="redshift-17-remediation"></a>

Para obtener información sobre cómo agregar etiquetas a un grupo de parámetros de clúster de Amazon Redshift, consulte la [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.

## [Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
<a name="redshift-18"></a>

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::Redshift::Cluster`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si las implementaciones en múltiples zonas de disponibilidad (Multi-AZ) están habilitadas para un clúster de Amazon Redshift. El control falla si las implementaciones Multi-AZ no están habilitadas para el clúster de Amazon Redshift.

Amazon Redshift admite implementaciones en múltiples zonas de disponibilidad (Multi-AZ) para clústeres aprovisionados. Si las implementaciones Multi-AZ están habilitadas para un clúster, un almacén de datos de Amazon Redshift puede continuar en funcionamiento en situaciones de falla cuando ocurre un evento inesperado en una zona de disponibilidad (AZ). Una implementación Multi-AZ aprovisiona recursos de computación en más de una zona de disponibilidad y permite acceder a estos recursos de computación mediante un único punto de conexión. En caso de una falla completa en una zona de disponibilidad, los recursos de computación restantes en otra zona estarán disponibles para continuar el procesamiento de las cargas de trabajo. Puede convertir un almacén de datos de una sola zona de disponibilidad (Single-AZ) existente en un almacén de datos Multi-AZ. Luego se aprovisionan recursos de computación adicionales en una segunda zona de disponibilidad.

### Corrección
<a name="redshift-18-remediation"></a>

Para obtener información sobre cómo configurar implementaciones Multi-AZ para un clúster de Amazon Redshift, consulte la [Conversión de un almacén de datos Single-AZ en un almacén de datos Multi-AZ](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html) en la *Guía de administración de Amazon Redshift*.

# Controles CSPM de Security Hub para Amazon Redshift Serverless
<a name="redshiftserverless-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Redshift Serverless. Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado
<a name="redshiftserverless-1"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos dentro de VPC

**Gravedad:** alta

**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si el enrutamiento de VPC mejorado está habilitado para un grupo de trabajo de Amazon Redshift sin servidor. El control falla si el enrutamiento de VPC mejorado está desactivado para el grupo de trabajo.

Si el enrutamiento de VPC mejorado está deshabilitado para un grupo de trabajo sin servidor de Amazon Redshift, Amazon Redshift direcciona el tráfico a través de Internet, incluido el tráfico a otros servicios de la red. AWS Si habilita el enrutamiento de VPC mejorado para un grupo de trabajo, Amazon Redshift fuerza todo el tráfico `COPY` y `UNLOAD` entre el clúster y los repositorios de datos a pasar por la nube virtual privada (VPC), basada en el servicio Amazon VPC. Con el enrutamiento de VPC mejorado, puede usar características estándar de VPC para controlar el flujo de datos entre el clúster de Amazon Redshift y otros recursos. Esto incluye funciones como los grupos de seguridad de VPC y las políticas de puntos finales, las listas de control de acceso a la red (ACLs) y los servidores del sistema de nombres de dominio (DNS). También puede usar los registros de flujo de VPC para supervisar el tráfico `COPY` y `UNLOAD`.

### Corrección
<a name="redshiftserverless-1-remediation"></a>

Para obtener información sobre el enrutamiento de VPC mejorado y sobre cómo habilitarlo para un grupo de trabajo, consulte [Control del tráfico de red con el enrutamiento de VPC mejorado de Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) en la *Guía de administración de Amazon Redshift*.

## [RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL
<a name="redshiftserverless-2"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si las conexiones a un grupo de trabajo de Amazon Redshift sin servidor deben requerir cifrar los datos en tránsito. El control falla si el parámetro de configuración `require_ssl` del grupo de trabajo está configurado en `false`.

Un grupo de trabajo sin servidor de Amazon Redshift es un conjunto de recursos informáticos que agrupa recursos informáticos, como grupos de subredes de RPUs VPC y grupos de seguridad. Las propiedades de un grupo de trabajo incluyen configuraciones de red y seguridad. Estas configuraciones especifican si las conexiones a un grupo de trabajo deben requerir el uso de SSL para cifrar los datos en tránsito.

### Corrección
<a name="redshiftserverless-2-remediation"></a>

Para obtener información sobre cómo actualizar las configuraciones de un grupo de trabajo de Amazon Redshift sin servidor para requerir conexiones SSL, consulte [Conexión a Amazon Redshift sin servidor](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html) en la *Guía de administración de Amazon Redshift*.

## [RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público
<a name="redshiftserverless-3"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::RedshiftServerless::Workgroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si el acceso público está desactivado para un grupo de trabajo de Amazon Redshift sin servidor. Evalúa la propiedad `publiclyAccessible` de un grupo de trabajo de Redshift sin servidor. El control falla si el acceso público está habilitado (`true`) para el grupo de trabajo.

La configuración de acceso público (`publiclyAccessible`) de un grupo de trabajo de Amazon Redshift sin servidor especifica si se puede acceder al grupo de trabajo desde una red pública. Si el acceso público está habilitado (`true`) para un grupo de trabajo, Amazon Redshift crea una dirección IP elástica que hace que el grupo de trabajo sea accesible públicamente desde fuera de la VPC. Si no desea que un grupo de trabajo sea accesible públicamente, desactive el acceso público para ese grupo de trabajo.

### Corrección
<a name="redshiftserverless-3-remediation"></a>

Para obtener información sobre cómo cambiar la configuración de acceso público de un grupo de trabajo de Amazon Redshift sin servidor, consulte [Visualización de las propiedades de un grupo de trabajo](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html) en la *Guía de administración de Amazon Redshift*.

## [RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys
<a name="redshiftserverless-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), 2 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 NISt.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Una lista de los nombres de recursos de Amazon (ARNs) AWS KMS keys para incluirlos en la evaluación. El control genera un resultado `FAILED` si un espacio de nombres de Redshift sin servidor no está cifrado con una clave de KMS de la lista.  |  StringList (máximo de 3 elementos)  |  De 1 a 3 ARNs de las claves KMS existentes. Por ejemplo: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`.  |  Sin valor predeterminado  | 

Este control verifica si un espacio de nombres de Amazon Redshift sin servidor está cifrado en reposo con una AWS KMS key administrada por el cliente. El control falla si el espacio de nombres de Redshift sin servidor no está cifrado con una clave de KMS administrada por el cliente. Puede especificar opcionalmente una lista de claves de KMS para que el control las incluya en la evaluación.

En Amazon Redshift sin servidor, un espacio de nombres define un contenedor lógico para objetos de base de datos. Este control comprueba periódicamente si la configuración de cifrado de un espacio de nombres especifica una clave de KMS administrada por el cliente AWS KMS key, en lugar de una AWS administrada, para el cifrado de los datos del espacio de nombres. Con una clave de KMS administrada por el cliente, ejerce control pleno sobre la clave. Esto incluye definir y mantener la política de claves, administrar concesiones, rotar el material criptográfico, asignar etiquetas, crear alias y habilitar y desactivar la clave.

### Corrección
<a name="redshiftserverless-4-remediation"></a>

*Para obtener información sobre cómo actualizar la configuración de cifrado de un espacio de nombres de Amazon Redshift Serverless y especificar un espacio de nombres gestionado por el cliente AWS KMS key, consulte [Cambiar el espacio de nombres de un espacio de nombres en la AWS KMS key Guía](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html) de administración de Amazon Redshift.*

## [RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado
<a name="redshiftserverless-5"></a>

**Categoría**: Identificar > Configuración de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si el nombre de usuario de administrador de un espacio de nombres de Amazon Redshift sin servidor es el nombre de administrador predeterminado, `admin`. El control falla si el nombre de usuario de administrador del espacio de nombres de Redshift sin servidor es `admin`. 

Al crear un espacio de nombres de Amazon Redshift sin servidor, debe especificar un nombre de usuario de administrador personalizado para el espacio de nombres. El nombre de usuario de administrador predeterminado es de conocimiento público. Al especificar un nombre de usuario de administrador personalizado, puede, por ejemplo, ayudar a mitigar el riesgo o la efectividad de ataques de fuerza bruta contra el espacio de nombres.

### Corrección
<a name="redshiftserverless-5-remediation"></a>

Puede cambiar el nombre de usuario de administrador de un espacio de nombres de Amazon Redshift sin servidor mediante la consola o la API de Amazon Redshift sin servidor. Para cambiarlo mediante la consola, seleccione la configuración del espacio de nombres y luego seleccione **Editar credenciales de administrador** en el menú **Acciones**. [Para cambiarlo mediante programación, utilice la [UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html)operación o, si está utilizando la, ejecute el comando update-namespace. AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html) Si cambia el nombre de usuario de administrador, también debe cambiar la contraseña de administrador al mismo tiempo.

## [RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch
<a name="redshiftserverless-6"></a>

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::RedshiftServerless::Namespace`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un espacio de nombres Amazon Redshift Serverless está configurado para exportar los registros de conexión y de usuario a Amazon Logs. CloudWatch El control falla si el espacio de nombres Redshift Serverless no está configurado para exportar los registros a Logs. CloudWatch 

Si configura Amazon Redshift Serverless para que exporte los datos del registro de conexión (`connectionlog`) y del registro de usuario (`userlog`) a un grupo de CloudWatch registros de Amazon Logs, podrá recopilar y almacenar sus registros de registro en un almacenamiento duradero que permita realizar revisiones y auditorías de seguridad, acceso y disponibilidad. Con CloudWatch Logs, también puede realizar análisis de los datos de registro en tiempo real y utilizarlos CloudWatch para crear alarmas y revisar métricas.

### Corrección
<a name="redshiftserverless-6-remediation"></a>

Para exportar los datos de registro de un espacio de nombres Amazon Redshift Serverless a CloudWatch Amazon Logs, se deben seleccionar los registros correspondientes para su exportación en los ajustes de configuración de los registros de auditoría del espacio de nombres. Para obtener información sobre cómo actualizar estas configuraciones, consulte [Edición de la seguridad y el cifrado](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html) en la *Guía de administración de Amazon Redshift*.

# Controles CSPM de Security Hub para Route 53
<a name="route53-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Route 53.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
<a name="route53-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Route53::HealthCheck`

**AWS Config regla:** `tagged-route53-healthcheck` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control verifica si una comprobación de estado de Amazon Route 53 tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si la comprobación de estado no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si la comprobación de estado no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="route53-1-remediation"></a>

Para agregar etiquetas a una comprobación de estado de Route 53, consulte [Nombrar y etiquetar las comprobaciones de estado](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-tagging.html) en la *Guía para desarrolladores de Amazon Route 53*.

## Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
<a name="route53-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::Route53::HostedZone`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el registro de consultas de DNS está habilitado en una zona alojada pública de Amazon Route 53. El control falla si el registro de consultas de DNS no está habilitado en una zona alojada pública de Route 53.

Al registrar las consultas de DNS para una zona alojada de Route 53, se abordan los requisitos de seguridad y conformidad del DNS y se garantiza la visibilidad. Los registros incluyen información como el dominio o subdominio que se ha consultado, la fecha y la hora de la consulta, el tipo de registro de DNS (por ejemplo, A o AAAA) y el código de respuesta de DNS (por ejemplo, `NoError` o `ServFail`). Cuando el registro de consultas de DNS está habilitado, Route 53 publica los archivos de registro en Amazon CloudWatch Logs.

### Corrección
<a name="route53-2-remediation"></a>

Para registrar las consultas de DNS para las zonas alojadas públicas de Route 53, consulte [Configuración del registro de consultas de DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html#query-logs-configuring) en la *Guía para desarrolladores de Amazon Route 53*.

# Controles CSPM de Security Hub para Amazon S3
<a name="s3-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Simple Storage Service (Amazon S3). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público
<a name="s3-1"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20), (21) NIST.800-53.r5 AC-6, (3) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1 3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html) 

**Tipo de programa:** Periódico

**Parámetros:** 
+ `ignorePublicAcls`: `true` (no personalizable)
+ `blockPublicPolicy`: `true` (no personalizable)
+ `blockPublicAcls`: `true` (no personalizable)
+ `restrictPublicBuckets`: `true` (no personalizable)

Este control comprueba si la anterior configuración del bloqueo de acceso público de Amazon S3 está configurada en el nivel de cuenta para un bucket de uso general de S3. El control lanza un error si una o más de las configuraciones del bloqueo de acceso público se han establecido como `false`.

El control falla si alguna de las configuraciones se ha establecido como `false` o si alguna de las configuraciones no está configurada.

El bloque de acceso público de Amazon S3 está diseñado para proporcionar controles a nivel de bucket S3 completo Cuenta de AWS o individual a fin de garantizar que los objetos nunca tengan acceso público. El acceso público se concede a los depósitos y objetos mediante listas de control de acceso (ACLs), políticas de depósitos o ambas.

A menos que quiera que se pueda acceder públicamente a sus buckets de S3, debe configurar la característica de Bloqueo de acceso público de Amazon S3 de nivel de cuenta.

Para obtener más información, consulte [Uso de Bloqueo de acceso público de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) en la *Guía del usuario de Amazon Simple Storage Service*.

### Corrección
<a name="s3-1-remediation"></a>

Para habilitar el acceso público por bloqueo de Amazon S3 para usted Cuenta de AWS, consulte [Configuración de los ajustes de bloqueo de acceso público para su cuenta](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html) en la *Guía del usuario de Amazon Simple Storage Service*.

## [S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura
<a name="s3-2"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)

**Tipo de programa:** periódico y activado por cambios

**Parámetros:** ninguno

Este control comprueba si un bucket de uso general de Amazon S3 permite el acceso público de lectura. Evalúa la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket. El control lanza un error si el bucket permite el acceso público de lectura.

**nota**  
Si un bucket de S3 tiene una política de bucket, este control no evalúa condiciones de políticas que utilicen caracteres comodín o variables. Para producir un resultado `PASSED`, las condiciones en la política de bucket deben usar únicamente valores fijos, que son valores que no contienen caracteres comodín ni variables de políticas. Para obtener información sobre variables de políticas, consulte [Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de AWS Identity and Access Management *.

Algunos casos de uso probablemente requieran que todos en Internet puedan leer desde su bucket S3. Sin embargo, esas situaciones son poco habituales. Para garantizar la integridad y la seguridad de los datos, el bucket de S3 no debe tener acceso de lectura público.

### Corrección
<a name="s3-2-remediation"></a>

Para bloquear el acceso público de lectura en sus buckets de Amazon S3, consulte [Configuración de los ajustes de bloqueo de acceso público para sus buckets de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) en la *Guía del usuario de Amazon Simple Storage Service*.

## [S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura
<a name="s3-3"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** crítica

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) 

**Tipo de programa:** periódico y activado por cambios

**Parámetros:** ninguno

Este control comprueba si un bucket de uso general de Amazon S3 permite el acceso público de escritura. Evalúa la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket. El control lanza un error si el bucket permite el acceso público de escritura.

**nota**  
Si un bucket de S3 tiene una política de bucket, este control no evalúa condiciones de políticas que utilicen caracteres comodín o variables. Para producir un resultado `PASSED`, las condiciones en la política de bucket deben usar únicamente valores fijos, que son valores que no contienen caracteres comodín ni variables de políticas. Para obtener información sobre variables de políticas, consulte [Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de AWS Identity and Access Management *.

Algunos casos de uso requieren que todos en Internet puedan escribir en su bucket S3. Sin embargo, esas situaciones son poco habituales. Para garantizar la integridad y la seguridad de los datos, el bucket de S3 no debe tener acceso de escritura público.

### Corrección
<a name="s3-3-remediation"></a>

Para bloquear el acceso público de escritura en sus buckets de Amazon S3, consulte [Configuración de los ajustes de bloqueo de acceso público para sus buckets de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) en la *Guía del usuario de Amazon Simple Storage Service*.

## [S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL
<a name="s3-5"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.1, CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, NIST.800-53.r5 AC-1 7 ( NIST.800-53.r5 SC-12), (1), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 2 ( NIST.800-53.r5 SC-23), 3, 3 NIST.800-53.r5 SC-7 (3) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (3), (4), NIST.800-53.r5 SC-8 (1), (2), NIST.800-53.r5 SI-7 (6), NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v3.2.1/4.1, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 AC-4 NIST.800-53.r5 IA-5

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un bucket de uso general de Amazon S3 tiene una política que exija que las solicitudes usen SSL. El control lanza un error si la política de buckets no requiere que las solicitudes exijan el uso de SSL.

Los buckets S3 deben tener políticas que exijan que todas las solicitudes (`Action: S3:*`) solo acepten la transmisión de datos a través de HTTPS en la política de recursos de S3, indicada mediante la clave de condición `aws:SecureTransport`.

### Corrección
<a name="s3-5-remediation"></a>

Para actualizar una política de bucket de Amazon S3 de manera que deniegue el transporte no seguro, consulte [Agregar una política de bucket mediante la consola de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) en la *Guía del usuario de Amazon Simple Storage Service*.

Añada una declaración de política similar a la de la siguiente política. Sustituya `amzn-s3-demo-bucket` por el nombre del bucket que está modificando.

------
#### [ JSON ]

****  

```
{
    "Id": "ExamplePolicy",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}
```

------

Para obtener más información, consulta [¿Qué política de bucket de S3 debo usar para cumplir con la AWS Config regla s3-bucket-ssl-requests-only?](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/) en el *Centro de Conocimiento AWS Oficial*.

## [S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS
<a name="s3-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2, NIst.800-171.r2 3.13.4

**Categoría:** Proteger > Gestión del acceso seguro > Se restringen las acciones de operaciones confidenciales de la API 

**Gravedad:** alta

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config**: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `blacklistedactionpatterns`: `s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl` (no personalizable)

Este control comprueba si la política del bucket de uso general de Amazon S3 impide que las entidades principales de otras Cuentas de AWS realicen acciones denegadas en los recursos del bucket de S3. El control lanza un error si la política de buckets permite una o más de las acciones anteriores a una entidad principal en otra Cuenta de AWS.

La implementación del acceso con privilegios mínimos es esencial a la hora de reducir los riesgos de seguridad y el impacto de los errores o intentos malintencionados. Si una política de buckets S3 permite el acceso desde cuentas externas, podría provocar la exfiltración de datos por parte de una amenaza interna o de un atacante.

El parámetro `blacklistedactionpatterns` permite evaluar correctamente la regla para los buckets S3. El parámetro otorga acceso a cuentas externas para los patrones de acción que no están incluidos en la lista de `blacklistedactionpatterns`.

### Corrección
<a name="s3-6-remediation"></a>

Para actualizar una política de bucket de Amazon S3 para eliminar permisos, consulte. [Agregar una política de bucket mediante la consola de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) en la *Guía del usuario de Amazon Simple Storage Service*.

En la página **Editar política de bucket**, en el cuadro de texto de edición de políticas, lleve a cabo una de las siguientes acciones:
+ Elimine las declaraciones que otorgan a otras Cuentas de AWS el acceso a las acciones denegadas.
+ Elimine las acciones denegadas permitidas de las declaraciones.

## [S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
<a name="s3-7"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.2, 6 (2), (2), NIst.800-53.r5 SI-13 (5) NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 NIST.800-53.r5 SC-5

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** baja

**Tipo de recurso:** `AWS::S3::Bucket`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)**

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los buckets de uso general de Amazon S3 tienen habilitada la replicación entre regiones. El control lanza un error si el bucket no tiene habilitada la replicación entre regiones.

La replicación es la copia automática y asíncrona de objetos entre depósitos iguales o diferentes. Regiones de AWS La replicación copia los objetos recientemente creados y las actualizaciones de objetos de un bucket de origen a un bucket o buckets de destino. Las mejores prácticas de AWS recomiendan la replicación de los buckets de origen y destino que son propiedad de la misma Cuenta de AWS. Además de la disponibilidad, debe plantearse otras configuraciones de protección de sistemas.

Este control produce un resultado `FAILED` para un bucket de destino de la replicación si no tiene habilitada la replicación entre regiones. Si hay una razón legítima por la que el bucket de destino no necesita que se habilite la replicación entre regiones, puede suprimir los resultados correspondientes a este bucket.

### Corrección
<a name="s3-7-remediation"></a>

Para habilitar la replicación entre regiones en un bucket S3, consulte [Configuración de la replicación para los buckets de origen y destino que pertenecen a la misma cuenta](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html) en la *Guía del usuario de Amazon Simple Storage Service*. En el **Bucket de origen**, seleccione **Aplicar a todos los objetos del bucket**.

## [S3.8] Los buckets de uso general de S3 deben bloquear el acceso público
<a name="s3-8"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.02.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 (7), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21),, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** alta

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**
+ `excludedPublicBuckets` (no personalizable): una lista separada por comas de nombres de buckets de S3 públicos permitidos conocidos

Este control comprueba si un bucket de uso general de Amazon S3 bloquea el acceso público a nivel de bucket. El control lanza un error si alguna de las siguientes configuraciones se establece como `false`:
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`

Block Public Access a nivel de bucket de S3 proporciona controles para garantizar que los objetos nunca tengan acceso público. El acceso público se concede a los depósitos y objetos mediante listas de control de acceso (ACLs), políticas de depósitos o ambas.

A menos que quiera que se pueda acceder públicamente a sus buckets de S3, debe configurar la característica de Bloqueo de acceso público de Amazon S3 de nivel de bucket.

### Corrección
<a name="s3-8-remediation"></a>

Para obtener información sobre cómo eliminar el acceso público a nivel de bucket, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) en la *Guía del usuario de Amazon S3*.

## [S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor
<a name="s3-9"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3 (8), niST.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), NIst.800-171.r2 3.3.8, PCI DSS v4.0.1/10.2.1

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el registro de acceso al servidor está habilitado para los buckets de uso general de Amazon S3. El control lanza un error si no está habilitado el registro de acceso al servidor. Cuando activa el registro, Amazon S3 envía los registros de acceso de un bucket de origen a un bucket de destino que usted selecciona. El bucket de destino debe estar en el Región de AWS mismo lugar que el bucket de origen y no debe tener configurado un período de retención predeterminado. El bucket de registro de destino no necesita tener activado el registro de acceso al servidor, por lo que debe suprimir los resultados de este bucket. 

El registro de acceso al servidor brinda registros detallados de las solicitudes realizadas a un bucket. Los registros de acceso al servidor pueden ayudar en auditorías de acceso y seguridad. Para obtener más información, consulte [Prácticas recomendadas de seguridad para Amazon S3: Habilitar el registro de acceso al servidor de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html).

### Corrección
<a name="s3-9-remediation"></a>

Para habilitar el registro de acceso al servidor Amazon S3, consulte [Habilitar el registro de acceso al servidor Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html) en la *Guía del usuario de Amazon S3*.

## [S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida
<a name="s3-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un bucket de uso general de Amazon S3 con control de versiones tiene una configuración de ciclo de vida. El control lanza un error si el bucket no tiene una configuración de ciclo de vida.

Recomendamos configurar el ciclo de vida en el bucket de S3 para que pueda definir las acciones que desea que Amazon S3 realice durante la vida útil de un objeto. 

### Corrección
<a name="s3-10-remediation"></a>

Para obtener más información sobre la configuración del ciclo de vida en un bucket de Amazon S3, consulte [Establecer la configuración del ciclo de vida en un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) y [Administrar el ciclo de vida de almacenamiento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html).

## [S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
<a name="s3-11"></a>

**Requisitos relacionados:** NiSt.800-53.r5 SI-3 (8) NIST.800-53.r5 CA-7, NiSt.800-53.r5 SI-4, NiSt.800-53.r5 SI-4 (4), NIst.800-171.r2 3.3.8

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `eventTypes`  |  Lista de tipos de eventos de S3 preferidos  |  EnumList (máximo de 28 artículos)  |  `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent`  |  Sin valor predeterminado  | 

Este control comprueba si las notificaciones de eventos de S3 están habilitadas en un bucket de uso general de Amazon S3. El control lanza un error si las notificaciones de eventos de S3 no están habilitadas en el bucket. Si proporciona valores personalizados para el parámetro `eventTypes`, el control solo se aprueba si las notificaciones de eventos están habilitadas para los tipos de eventos especificados.

Al habilitar las notificaciones de eventos de S3, recibe alertas cuando se producen eventos específicos que afecten sus buckets de S3. Por ejemplo, puede recibir notificaciones sobre la creación, eliminación y restauración de objetos. Estas notificaciones pueden alertar a los equipos pertinentes sobre modificaciones accidentales o intencionales que puedan provocar el acceso no autorizado a los datos.

### Corrección
<a name="s3-11-remediation"></a>

Para obtener información sobre la detección de cambios en los buckets y objetos S3, consulte [Notificaciones de eventos de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html) en la *Guía del usuario de Amazon S3*.

## [S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3
<a name="s3-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Categoría:** Proteger - Administración de acceso seguro > Control de acceso

**Gravedad:** media

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un bucket de uso general de Amazon S3 proporciona permisos de usuario con una lista de control de acceso (ACL). El control lanza un error si las ACL están configuradas para administrar el acceso de los usuarios a los buckets.

ACLs son mecanismos de control de acceso heredados anteriores a la IAM. En lugar de hacerlo ACLs, le recomendamos que utilice políticas de bucket de S3 o políticas AWS Identity and Access Management (IAM) para administrar el acceso a sus buckets de S3.

### Corrección
<a name="s3-12-remediation"></a>

Para superar este control, debes inhabilitarlo ACLs para tus buckets de S3. Para obtener instrucciones, consulta [Cómo controlar la propiedad de los objetos y deshabilitar ACLs tu depósito](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) en la *Guía del usuario de Amazon Simple Storage Service*.

Para crear una política de bucket S3, consulte [Agregar una política de bucket mediante la consola de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html). Para crear una política de usuario de IAM en un bucket de S3, consulte [Controlar el acceso a un bucket con políticas de usuario](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions).

## [S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
<a name="s3-13"></a>

**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

**Categoría:** Proteger > Protección de datos 

**Gravedad:** baja

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `targetTransitionDays`  |  Número de días después de crear los objetos cuando estos se trasladan a una clase de almacenamiento específico  |  Entero  |  De `1` a `36500`  |  Sin valor predeterminado  | 
|  `targetExpirationDays`  |  Número de días después de crear los objetos cuando estos se eliminan  |  Entero  |  De `1` a `36500`  |  Sin valor predeterminado  | 
|  `targetTransitionStorageClass`  |  Tipo de clase de almacenamiento de S3 de destino  |  Enum  |  `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE`  |  Sin valor predeterminado  | 

Este control comprueba si un bucket de uso general de Amazon S3 tiene una configuración de ciclo de vida. El control lanza un error si el bucket no tiene una configuración de ciclo de vida. Si proporciona valores personalizados para uno o varios de los parámetros anteriores, el control solo pasa si la política incluye la clase de almacenamiento, el tiempo de eliminación o el tiempo de transición especificados. 

Al generar una configuración de ciclo de vida para su bucket de S3, define las acciones que desea que Amazon S3 realice durante la vida útil de un objeto. Por ejemplo, puede realizar la transición de objetos a otra clase de almacenamiento, archivarlos o eliminarlos después de un periodo de tiempo especificado.

### Corrección
<a name="s3-13-remediation"></a>

Para obtener información sobre cómo configurar las políticas de ciclo de vida en un bucket de Amazon S3, consulte [Establecer la configuración del ciclo de vida en un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) y consulte [Administrar el ciclo de vida de almacenamiento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) en la *Guía del usuario de Amazon S3*.

## [S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones
<a name="s3-14"></a>

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Requisitos relacionados:** NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-12, NISt.800-53.r5 SI-13 (5), NISt.800-171.r2 3.3.8

**Gravedad:** baja

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un bucket de uso general de Amazon S3 tiene habilitado el control de versiones. El control lanza un error si se suspende el control de versiones del bucket.

El control de versiones conserva diversas variantes de un objeto en el mismo bucket de S3. Puede utilizar el control de versiones para conservar, recuperar y restaurar todas las versiones anteriores de los objetos almacenados en su bucket de S3. EL control de versiones de S3 le ayuda a recuperarse de acciones no deseadas del usuario y de errores de la aplicación.

**sugerencia**  
A medida que aumenta el número de objetos en un bucket debido al control de versiones, puede configurar el ciclo de vida para archivar o eliminar automáticamente los objetos con control de funciones en función de las reglas. Para obtener más información, consulte [Administración del ciclo de vida de los objetos versionados de Amazon S3](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/).

### Corrección
<a name="s3-14-remediation"></a>

Para usar el control de versiones en un bucket de S3, consulte [Habilitar el control de versiones en buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) en la *Guía del usuario de Amazon S3*.

## [S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos
<a name="s3-15"></a>

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Requisitos relacionados:** NIST.800-53.r5 CP-6(2), PCI DSS v4.0.1/10.5.1

**Gravedad:** media

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `mode`  |  Modo de retención de Bloqueo de objetos de S3  |  Enum  |  `GOVERNANCE`, `COMPLIANCE`  |  Sin valor predeterminado  | 

Este control comprueba si un bucket de uso general de Amazon S3 tiene habilitado el bloqueo de objetos. El control lanza un error si el bloqueo de objetos no está habilitado para el bucket. Si proporciona un valor personalizado para el parámetro `mode`, el control solo pasa si el Bloqueo de objetos de S3 utiliza el modo de retención especificado.

Puede usar S3 Object Lock para almacenar objetos mediante un modelo write-once-read-many (WORM). S3 Bloqueo de objetos puede ayudar a evitar que se eliminen o se sobrescriban objetos durante un periodo de tiempo determinado o de manera indefinida. Puede usar Bloqueo de objetos de S3 para cumplir con los requisitos normativos que precisen de almacenamiento WORM o agregar una capa adicional de protección frente a cambios y eliminaciones de objetos.

### Corrección
<a name="s3-15-remediation"></a>

Para configurar Bloqueo de objetos para buckets de S3 nuevos y existentes, consulte [Configuración del Bloqueo de objetos de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html) en la *Guía del usuario de Amazon S3*. 

## [S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys
<a name="s3-17"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Requisitos relacionados:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, 8 (1), NIST.800-53.r5 SC-2 (10), (1), NIST.800-53.r5 SC-7 NiSt.800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6), NiSt.800-53.r5 AU-9, NiSt.800-171.r2 3.8.9, NiSt.800-171.R2 3.13.16, PCI DSS v4.0.1/3.5.1

**Gravedad:** media

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un bucket de uso general de Amazon S3 está cifrado con un AWS KMS key (SSE-KMS o DSSE-KMS). El control lanza un error si el bucket se cifra con el cifrado predeterminado (SSE-S3).

El cifrado del servidor (SSE) es el cifrado de datos en su destino por la aplicación o servicio que los recibe. A menos que especifique lo contrario, los buckets S3 usan claves administradas de Amazon S3 (SSE-S3) de forma predeterminada para el cifrado del servidor. Sin embargo, para mayor control, puede optar por configurar los buckets para que utilicen el cifrado del lado del servidor con AWS KMS keys (SSE-KMS o DSSE-KMS) en su lugar. Amazon S3 cifra los datos a nivel de objeto a medida que los escribe en los discos de los centros de AWS datos y los descifra automáticamente cuando accede a ellos.

### Corrección
<a name="s3-17-remediation"></a>

*Para cifrar un bucket de S3 mediante SSE-KMS, consulte [Especificar el cifrado del lado del servidor con AWS KMS (SSE-KMS) en](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html) la Guía del usuario de Amazon S3.* *Para cifrar un bucket de S3 mediante DSSE-KMS, consulte [Especificar el cifrado de doble capa del lado del servidor con AWS KMS keys (DSSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html) en la Guía del usuario de Amazon S3.*

## [S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público
<a name="s3-19"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS NIST.800-53.r5 SC-7 v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::S3::AccessPoint`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un punto de acceso de Amazon S3 tiene habilitada la configuración de Bloqueo de acceso público. Se produce un error en el control si la configuración de Bloqueo de acceso público no está habilitada para el punto de acceso.

La característica Bloqueo de acceso público de Amazon S3 ayuda a administrar el acceso a sus recursos de S3 en tres niveles: cuenta, bucket y punto de acceso. La configuración de cada nivel se puede configurar de forma independiente, lo que permite tener diferentes niveles de restricciones de acceso público para los datos. La configuración del punto de acceso no puede anular individualmente la configuración más restrictiva en los niveles superiores (nivel de cuenta o bucket asignado al punto de acceso). Por el contrario, la configuración a nivel del punto de acceso es acumulativa, lo que significa que complementa la configuración de los demás niveles y funciona junto con esta. A menos que pretenda que un punto de acceso de S3 sea de acceso público, debe habilitar la configuración de Bloqueo de acceso público.

### Corrección
<a name="s3-19-remediation"></a>

Amazon S3 actualmente no admite cambiar la configuración de bloqueo de acceso público de un punto de acceso después de que se haya creado el punto de acceso. Todas las configuraciones de Bloqueo de acceso público están habilitadas de forma predeterminada al crear un punto de acceso nuevo. Le recomendamos que deje todas las configuraciones habilitadas a menos que sepa que tiene una necesidad específica de desactivar cualquiera de ellas. Para más información, consulte [Administración de acceso público a puntos de acceso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html) en la *Guía del usuario de Amazon Simple Storage Service*.

## [S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
<a name="s3-20"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/2.1.2, CIS AWS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Categoría**: Proteger > Protección de datos > Protección contra la eliminación de datos

**Gravedad:** baja

**Tipo de recurso:** `AWS::S3::Bucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si la eliminación mediante autenticación multifactor (MFA) está habilitada para un bucket de uso general de Amazon S3. El control falla si la eliminación mediante MFA no está habilitada para el bucket. El control no produce resultados para buckets que tienen una configuración de ciclo de vida.

Si habilita el control de versiones para un bucket de uso general de S3, puede agregar otra capa de seguridad al configurar la eliminación mediante MFA para el bucket. Si lo hace, el propietario del bucket debe incluir dos formas de autenticación en cualquier solicitud para eliminar una versión de un objeto en el bucket o cambiar el estado de control de versiones del bucket. La eliminación mediante MFA proporciona una protección adicional si, por ejemplo, las credenciales de seguridad del propietario del bucket resultan comprometidas. La eliminación mediante MFA también puede ayudar a evitar eliminaciones accidentales del bucket al exigir que el usuario que inicia la acción demuestre la posesión física de un dispositivo MFA con un código MFA, lo que añade una capa adicional de seguridad y fricción al proceso de eliminación.

**nota**  
Este control produce un resultado `PASSED` solo si la eliminación mediante MFA está habilitada para el bucket de uso general de S3. Para habilitar la eliminación mediante MFA para un bucket, el control de versiones también debe estar habilitado para el bucket. El control de versiones del bucket es un método para almacenar múltiples variaciones de un objeto de S3 en el mismo bucket. Además, solo el propietario del bucket que haya iniciado sesión como usuario raíz puede habilitar la eliminación mediante MFA y realizar acciones de eliminación en el bucket. No puede usar la eliminación mediante MFA con un bucket que tiene una configuración de ciclo de vida.

### Corrección
<a name="s3-20-remediation"></a>

Para obtener información sobre habilitar el control de versiones y configurar la eliminación mediante MFA para un bucket de S3, consulte [Configuración de la eliminación mediante MFA](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) en la *Guía del usuario Amazon Simple Storage Service*.

## [S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
<a name="s3-22"></a>

**Requisitos relacionados**: CIS Foundations Benchmark v5.0.0/3.8, CIS Foundations Benchmark v3.0.0/3.8, PCI DSS v4.0.1/10.2.1 AWS AWS 

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si an Cuenta de AWS tiene al menos un rastro AWS CloudTrail multirregional que registre todos los eventos de escritura de datos de los buckets de Amazon S3. El control lanza un error si la cuenta no tiene un registro de seguimiento de varias regiones que registre los eventos de escritura de datos en los buckets de S3.

Las operaciones de S3 a nivel de objeto, como `GetObject`, `DeleteObject` y `PutObject`, se denominan eventos de datos. De forma predeterminada, CloudTrail no registra los eventos de datos, pero puede configurar rutas para registrar los eventos de datos de los buckets de S3. Al habilitar el registro a nivel de objeto para los eventos de escritura de datos, puede registrar cada vez que se accede a un objeto (archivo) en un bucket de S3. Habilitar el registro a nivel de objeto puede ayudarle a cumplir los requisitos de conformidad de datos, realizar análisis de seguridad exhaustivos, supervisar patrones específicos de comportamiento de los usuarios y tomar medidas respecto a la actividad de las API a nivel de objeto en sus buckets de S3 mediante Amazon Events. Cuenta de AWS CloudWatch Este control produce un resultado `PASSED` si configura un registro de seguimiento de varias regiones que registre eventos de datos de solo escritura o de todo tipo para todos los buckets de S3.

### Corrección
<a name="s3-22-remediation"></a>

Para habilitar el registro a nivel de objeto para los buckets de S3, consulte [Habilitar el registro de CloudTrail eventos para los buckets y objetos de S3 en la Guía del usuario](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) de *Amazon Simple Storage Service*.

## [S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
<a name="s3-23"></a>

**Requisitos relacionados:** CIS AWS Foundations Benchmark v5.0.0/3.9, CIS Foundations Benchmark v3.0.0/3.9, PCI DSS v4.0.1/10.2.1 AWS 

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si an Cuenta de AWS tiene al menos un rastro AWS CloudTrail multirregional que registre todos los eventos de datos de lectura de los buckets de Amazon S3. El control lanza un error si la cuenta no tiene un registro de seguimiento de varias regiones que registre los eventos de lectura de datos en los buckets de S3.

Las operaciones de S3 a nivel de objeto, como `GetObject`, `DeleteObject` y `PutObject`, se denominan eventos de datos. De forma predeterminada, CloudTrail no registra los eventos de datos, pero puede configurar rutas para registrar los eventos de datos de los buckets de S3. Al habilitar el registro a nivel de objeto para los eventos de lectura de datos, puede registrar cada vez que se accede a un objeto (archivo) en un bucket de S3. Habilitar el registro a nivel de objeto puede ayudarle a cumplir los requisitos de conformidad de datos, realizar análisis de seguridad exhaustivos, supervisar patrones específicos de comportamiento de los usuarios y tomar medidas respecto a la actividad de las API a nivel de objeto en sus buckets de S3 mediante Amazon Events. Cuenta de AWS CloudWatch Este control produce un resultado `PASSED` si configura un registro de seguimiento de varias regiones que registre eventos de datos de solo lectura o de todo tipo para todos los buckets de S3.

### Corrección
<a name="s3-23-remediation"></a>

Para habilitar el registro a nivel de objeto para los buckets de S3, consulte [Habilitar el registro de CloudTrail eventos para los buckets y objetos de S3 en la Guía del usuario](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) de *Amazon Simple Storage Service*.

## [S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público
<a name="s3-24"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** alta

**Tipo de recurso:** `AWS::S3::MultiRegionAccessPoint`

**AWS Config regla:** `s3-mrap-public-access-blocked` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un punto de acceso de varias regiones de Amazon S3 tiene habilitado el bloqueo de acceso público. El control lanza un error si el punto de acceso de varias regiones no tiene habilitado el bloqueo de acceso público.

Los recursos de acceso público pueden provocar accesos no autorizados, filtraciones de datos o explotación de vulnerabilidades. Restringir el acceso mediante autenticación y autorización permite proteger la información confidencial y mantener la integridad de sus recursos.

### Corrección
<a name="s3-24-remediation"></a>

Todas las configuraciones de bloqueo de acceso público están habilitadas de forma predeterminada para los puntos de acceso de varias regiones de S3. Para obtener más información, consulte [Bloqueo del acceso público con puntos de acceso de varias regiones de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html) en la *Guía del usuario de Amazon Simple Storage Service*. No puede cambiar la configuración de Bloquear acceso público después de que se cree el punto de acceso de varias regiones.

## [S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
<a name="s3-25"></a>

**Categoría:** Proteger > Protección de datos

**Gravedad:** baja

**Tipo de recurso:** `AWS::S3Express::DirectoryBucket`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `targetExpirationDays`  |  La cantidad de días después de la creación del objeto en que los objetos deben expirar.  |  Entero  |  De `1` a `2147483647`  |  Sin valor predeterminado  | 

Este control verifica si las reglas de ciclo de vida están configuradas para un bucket de directorio de S3. El control falla si las reglas de ciclo de vida no están configuradas para el bucket de directorio, o si una regla de ciclo de vida del bucket especifica configuraciones de expiración que no coinciden con el valor del parámetro que se especifica opcionalmente.

En Amazon S3, una configuración de ciclo de vida es un conjunto de reglas que definen acciones que Amazon S3 aplica a un grupo de objetos en un bucket. Para un bucket de directorio de S3, puede crear una regla de ciclo de vida que especifica cuándo expiran los objetos según su antigüedad (en días). También puede crear una regla de ciclo de vida que elimine las cargas incompletas realizadas en partes. A diferencia de otros tipos de buckets de S3, como los buckets de uso general, los buckets de directorio no admiten otros tipos de acciones para reglas de ciclo de vida, como la transición de objetos entre clases de almacenamiento.

### Corrección
<a name="s3-25-remediation"></a>

Para definir una configuración de ciclo de vida para un bucket de directorio de S3, cree una regla de ciclo de vida para el bucket. Para obtener más información, consulte [Cómo crear y administrar una configuración de ciclo de vida para el bucket de directorio](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html) en la *Guía del usuario de Amazon Simple Storage Service*.

# Controles CSPM de Security Hub para IA SageMaker
<a name="sagemaker-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon SageMaker AI. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet
<a name="sagemaker-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/1.3.6, PCI DSS v4.0.1/1.4.4

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** alta

**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el acceso directo a Internet está deshabilitado para una instancia de SageMaker AI notebook. El control falla si el campo `DirectInternetAccess` está habilitado para la instancia de cuaderno. 

Si configuras tu instancia de SageMaker IA sin una VPC, el acceso directo a Internet está habilitado de forma predeterminada en tu instancia. Debe configurar la instancia con una VPC y cambiar la configuración predeterminada a **Deshabilitar: acceso a Internet a través de una VPC**. Para entrenar o alojar modelos desde un cuaderno, necesita acceso a Internet. Para habilitar el acceso a Internet, su VPC debe tener un punto de conexión de interfaz (AWS PrivateLink) o una puerta de enlace NAT y un grupo de seguridad que permita las conexiones salientes. Para obtener más información sobre cómo conectar una instancia de notebook a los recursos de una VPC, consulte [Conectar una instancia de notebook a los recursos de una VPC en](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) la Guía para desarrolladores de *Amazon SageMaker * AI. También debe asegurarse de que el acceso a su configuración de SageMaker IA esté limitado únicamente a los usuarios autorizados. Restrinja los permisos de IAM que permiten a los usuarios cambiar la configuración y los recursos de la SageMaker IA.

### Corrección
<a name="sagemaker-1-remediation"></a>

Después de crear una instancia de cuaderno, no se puede cambiar la configuración de acceso a Internet. En su lugar, puede detener, eliminar y volver a crear la instancia con el acceso a Internet bloqueado. Para eliminar una instancia de bloc de notas que permite el acceso directo a Internet, consulte [Utilizar instancias de bloc de notas para crear modelos: limpiar](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) en la *Guía para desarrolladores de Amazon SageMaker AI*. Para recrear una instancia de cuaderno que deniegue el acceso a Internet, consulte [Crear una instancia de cuaderno](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html). En **Red, acceso directo a Internet**, seleccione **Deshabilitar: acceso a Internet a través de una VPC**.

## [SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
<a name="sagemaker-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Categoría:** Proteger > Configuración de red segura > Recursos dentro de VPC

**Gravedad:** alta

**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una instancia de Amazon SageMaker AI Notebook se lanza dentro de una nube privada virtual (VPC) personalizada. Este control falla si una instancia de SageMaker AI Notebook no se lanza en una VPC personalizada o si se lanza en la VPC del servicio de SageMaker IA.

Las subredes son un rango de direcciones IP de una VPC. Recomendamos mantener sus recursos dentro de una VPC personalizada siempre que sea posible para garantizar una protección de red segura de su infraestructura. Una Amazon VPC es una red virtual dedicada a usted. Cuenta de AWS Con una Amazon VPC, puede controlar el acceso a la red y la conectividad a Internet de sus instancias de SageMaker AI Studio y notebook.

### Corrección
<a name="sagemaker-2-remediation"></a>

No se puede cambiar la configuración de VPC después de crear una instancia de cuaderno. En su lugar, puede detener, eliminar y volver a crear la instancia. Para obtener instrucciones, consulte [Uso de instancias de bloc de notas para crear modelos: limpieza](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) en la *Guía para desarrolladores de Amazon SageMaker AI*.

## [SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
<a name="sagemaker-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

**Categoría**: Proteger > Gestión del acceso seguro > Restricciones de acceso para los usuarios raíz

**Gravedad:** alta

**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el acceso root está activado en una instancia de bloc de notas de Amazon SageMaker AI. El control falla si el acceso root está activado en una instancia de bloc de notas de SageMaker IA.

Siguiendo el principio de privilegios mínimos, se recomienda restringir el acceso raíz a los recursos de la instancia para evitar un exceso de permisos involuntario.

### Corrección
<a name="sagemaker-3-remediation"></a>

Para restringir el acceso root a las instancias de bloc de notas de SageMaker IA, consulte [Controlar el acceso root a una instancia de bloc de notas de SageMaker IA](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) en la *Guía para desarrolladores de Amazon SageMaker AI*.

## [SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1
<a name="sagemaker-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 SC-3 6 NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, 3 NIST.800-53.r5 SA-1

**Categoría**: Recuperación > Resiliencia > Alta disponibilidad

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::EndpointConfig`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si las variantes de producción de un punto de conexión de Amazon SageMaker AI tienen un recuento de instancias inicial superior a 1. El control falla si las variantes de producción del punto de conexión tienen solo 1 instancia inicial.

Las variantes de producción que se ejecutan con un recuento de instancias superior a 1 permiten gestionar la redundancia de instancias Multi-AZ mediante SageMaker IA. La implementación de recursos en varias zonas de disponibilidad es una práctica AWS recomendada para proporcionar una alta disponibilidad en su arquitectura. La alta disponibilidad lo ayuda a recuperarse de los incidentes de seguridad.

**nota**  
Este control se aplica solo a la configuración del punto de conexión basada en instancias.

### Corrección
<a name="sagemaker-4-remediation"></a>

Para obtener más información sobre los parámetros de la configuración de puntos finales, consulte [Crear una configuración de punto final](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) en la *Guía para desarrolladores de Amazon SageMaker AI*.

## [SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
<a name="sagemaker-5"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::Model`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un modelo alojado en Amazon SageMaker AI tiene activado el aislamiento de red. El control falla si el parámetro `EnableNetworkIsolation` para el modelo alojado está establecido en `False`.

SageMaker El entrenamiento de IA y los contenedores de inferencia implementados están habilitados para Internet de forma predeterminada. Si no quieres que la SageMaker IA proporcione acceso a una red externa a tus contenedores de formación o inferencia, puedes habilitar el aislamiento de la red. Si habilita el aislamiento de red, no se podrán realizar llamadas de red de entrada o salida hacia o desde el contenedor del modelo, incluidas las llamadas hacia o desde otros Servicios de AWS. Además, no hay AWS credenciales disponibles para el entorno de ejecución del contenedor. Habilitar el aislamiento de la red ayuda a evitar el acceso no deseado a sus recursos de SageMaker IA desde Internet.

**nota**  
El 13 de agosto de 2025, Security Hub CSPM cambió el título y la descripción de este control. El nuevo título y la descripción reflejan con mayor precisión que el control comprueba la configuración del `EnableNetworkIsolation` parámetro de los modelos alojados en Amazon SageMaker AI. Anteriormente, el título de este control era: *SageMaker models should block inbound traffic*.

### Corrección
<a name="sagemaker-5-remediation"></a>

Para obtener más información sobre el aislamiento de redes para modelos de SageMaker IA, consulte [Ejecutar contenedores de entrenamiento e inferencia en modo sin Internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) en la Guía para *desarrolladores de Amazon SageMaker AI*. Cuando crea un modelo, puede habilitar el aislamiento de red al establecer el valor del parámetro `EnableNetworkIsolation` en `True`.

## [SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas
<a name="sagemaker-6"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SageMaker::AppImageConfig`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si la configuración de imagen de una aplicación Amazon SageMaker AI (`AppImageConfig`) tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si la configuración de imagen de la aplicación no tiene ninguna clave de etiqueta o si no incluye todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control verifica únicamente la existencia de una clave de etiqueta y falla si la configuración de imagen de la aplicación no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="sagemaker-6-remediation"></a>

Para añadir etiquetas a la configuración de imagen de una aplicación de Amazon SageMaker AI (`AppImageConfig`), puede utilizar la [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)operación de la API de SageMaker IA o, si la utiliza AWS CLI, ejecutar el comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).

## [SageMaker.7] SageMaker las imágenes deben estar etiquetadas
<a name="sagemaker-7"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SageMaker::Image`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si una imagen de Amazon SageMaker AI tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si la imagen no tiene ninguna clave de etiqueta o si no incluye todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control verifica únicamente la existencia de una clave de etiqueta y falla si la imagen no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="sagemaker-7-remediation"></a>

Para añadir etiquetas a una imagen de Amazon SageMaker AI, puede utilizar la [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)operación de la API de SageMaker IA o, si está utilizando la AWS CLI, ejecutar el comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).

## [SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
<a name="sagemaker-8"></a>

**Categoría**: Detectar > Administración de vulnerabilidades, parches y versiones

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)

**Tipo de programa:** Periódico

**Parámetros:**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (no personalizable)

Este control comprueba si una instancia de bloc de notas de Amazon SageMaker AI está configurada para ejecutarse en una plataforma compatible, en función del identificador de plataforma especificado para la instancia de portátil. El control falla si la instancia de cuaderno está configurada para ejecutarse en una plataforma que ya no recibe soporte.

Si la plataforma de una instancia de bloc de notas de Amazon SageMaker AI ya no es compatible, es posible que no reciba parches de seguridad, correcciones de errores u otros tipos de actualizaciones. Es posible que las instancias de Notebook sigan funcionando, pero no recibirán actualizaciones de seguridad de SageMaker IA ni correcciones de errores críticos. Asume los riesgos asociados con el uso de una plataforma que dejó de recibir soporte. Para obtener más información, consulte el control de [JupyterLabversiones](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) en la *Guía para desarrolladores de Amazon SageMaker AI*.

### Corrección
<a name="sagemaker-8-remediation"></a>

Para obtener información sobre las plataformas que Amazon SageMaker AI admite actualmente y cómo migrar a ellas, consulte las [instancias de notebook de Amazon Linux 2](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) en la *Guía para desarrolladores de Amazon SageMaker AI*.

## [SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores
<a name="sagemaker-9"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::DataQualityJobDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una definición de trabajo de calidad de datos de Amazon SageMaker AI tiene el cifrado habilitado para el tráfico entre contenedores. El control falla si la definición de un trabajo que monitorea la calidad y la desviación de los datos no tiene habilitado el cifrado para el tráfico entre contenedores.

Al habilitar el cifrado del tráfico entre contenedores, se protegen los datos confidenciales de aprendizaje automático durante el procesamiento distribuido para analizar la calidad de los datos. 

### Corrección
<a name="sagemaker-9-remediation"></a>

Para obtener más información sobre el cifrado del tráfico entre contenedores para Amazon SageMaker AI, consulte [Protect Communications Between ML Compute Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) en la *Guía para desarrolladores de Amazon SageMaker AI*. Al crear una definición de trabajo de calidad de datos, puede habilitar el cifrado del tráfico entre contenedores estableciendo el valor del `EnableInterContainerTrafficEncryption` parámetro en. `True`

## [SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores
<a name="sagemaker-10"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::ModelExplainabilityJobDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una definición de trabajo de explicabilidad del SageMaker modelo de Amazon tiene activado el cifrado del tráfico entre contenedores. El control falla si la definición del trabajo de explicabilidad del modelo no tiene activado el cifrado del tráfico entre contenedores.

Al habilitar el cifrado del tráfico entre contenedores, se protegen los datos confidenciales de aprendizaje automático, como los datos de modelos, los conjuntos de datos de entrenamiento, los resultados del procesamiento intermedio, los parámetros y las ponderaciones de los modelos durante el procesamiento distribuido para el análisis de explicabilidad. 

### Corrección
<a name="sagemaker-10-remediation"></a>

Para una definición de trabajo de explicabilidad de un SageMaker modelo existente, el cifrado del tráfico entre contenedores no se puede actualizar en su lugar. Para crear una nueva definición de trabajo de explicabilidad del SageMaker modelo con el cifrado de tráfico entre contenedores habilitado, utilice la API o la [CLI [o configúrelo](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html)](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) en. [ CloudFormation[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)`True`

## [SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red
<a name="sagemaker-11"></a>

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::DataQualityJobDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una definición de trabajo de supervisión de la calidad de los datos de Amazon SageMaker AI tiene activado el aislamiento de la red. El control falla si la definición de un trabajo que monitorea la calidad y la desviación de los datos desactiva el aislamiento de la red.

El aislamiento de la red reduce la superficie de ataque e impide el acceso externo, lo que protege contra el acceso externo no autorizado, la exposición accidental de los datos y la posible exfiltración de datos. 

### Corrección
<a name="sagemaker-11-remediation"></a>

Para obtener más información sobre el aislamiento de redes para SageMaker IA, consulte [Ejecutar contenedores de formación e inferencia en modo sin Internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) en la Guía para *desarrolladores de Amazon SageMaker AI*. Al crear una definición de trabajo de calidad de datos, puede habilitar el aislamiento de la red estableciendo el valor del `EnableNetworkIsolation` parámetro en. `True`

## [SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red
<a name="sagemaker-12"></a>

**Categoría:** Proteger > Configuración de red segura > Configuración de políticas de recursos

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::ModelBiasJobDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la definición de un trabajo basado en el sesgo de un SageMaker modelo tiene activado el aislamiento de la red. El control falla si la definición del trabajo de sesgo del modelo no tiene activado el aislamiento de la red.

El aislamiento de la red evita que los trabajos sesgados por el SageMaker modelo se comuniquen con recursos externos a través de Internet. Al habilitar el aislamiento de la red, se asegura de que los contenedores del trabajo no puedan establecer conexiones salientes, lo que reduce la superficie de ataque y protege los datos confidenciales de la filtración. Esto es particularmente importante para los trabajos que procesan datos regulados o confidenciales.

### Corrección
<a name="sagemaker-12-remediation"></a>

Para habilitar el aislamiento de la red, debe crear una nueva definición de trabajo basada en el sesgo del modelo con los `EnableNetworkIsolation` parámetros establecidos en`True`. El aislamiento de la red no se puede modificar después de crear la definición del trabajo. Para crear una nueva definición de trabajo basada [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)en el sesgo del modelo, consulte la *Guía para desarrolladores de Amazon SageMaker AI*. 

## [SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores
<a name="sagemaker-13"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::ModelQualityJobDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las definiciones de trabajos con calidad del SageMaker modelo de Amazon tienen el cifrado en tránsito activado para el tráfico entre contenedores. El control falla si una definición de trabajo de calidad modelo no tiene activado el cifrado del tráfico entre contenedores.

El cifrado del tráfico entre contenedores protege los datos que se transmiten entre contenedores durante las tareas de supervisión de la calidad de los modelos distribuidos. De forma predeterminada, el tráfico entre contenedores no está cifrado. Habilitar el cifrado ayuda a mantener la confidencialidad de los datos durante el procesamiento y respalda el cumplimiento de los requisitos reglamentarios para la protección de los datos en tránsito.

### Corrección
<a name="sagemaker-13-remediation"></a>

Para habilitar el cifrado del tráfico entre contenedores para la definición de trabajo de calidad de su SageMaker modelo de Amazon, debe volver a crear la definición de trabajo con la configuración de cifrado en tránsito adecuada. Para crear una definición de trabajo con calidad modelo, consulte [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)la *Guía para desarrolladores de Amazon SageMaker AI*. 

## [SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red
<a name="sagemaker-14"></a>

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::MonitoringSchedule`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si los programas de SageMaker monitoreo de Amazon tienen activado el aislamiento de la red. El control falla si un programa de monitoreo se ha EnableNetworkIsolation establecido en falso o no está configurado

El aislamiento de la red impide que los equipos de supervisión realicen llamadas de red salientes, lo que reduce la superficie de ataque al eliminar el acceso a Internet desde los contenedores.

### Corrección
<a name="sagemaker-14-remediation"></a>

Para obtener información sobre cómo configurar el aislamiento de la red en el NetworkConfig parámetro al crear o actualizar un programa de monitoreo, consulte [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)o [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)consulte la *Guía para desarrolladores de Amazon SageMaker AI*.

## [SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores
<a name="sagemaker-15"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::SageMaker::ModelBiasJobDefinition`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las definiciones de trabajos de sesgo del SageMaker modelo de Amazon tienen habilitado el cifrado de tráfico entre contenedores cuando se utilizan varias instancias de procesamiento. El control falla si `EnableInterContainerTrafficEncryption` se establece en falso o no está configurado para definiciones de trabajo con un recuento de instancias igual o superior a 2.

EInter-El cifrado del tráfico de contenedores protege los datos transmitidos entre las instancias de procesamiento durante las tareas de supervisión del sesgo de los modelos distribuidos. El cifrado evita el acceso no autorizado a la información relacionada con el modelo, como los pesos que se transmiten entre instancias.

### Corrección
<a name="sagemaker-15-remediation"></a>

Para habilitar el cifrado del tráfico entre contenedores para las definiciones de tareas basadas en el sesgo del SageMaker modelo, defina el `EnableInterContainerTrafficEncryption` parámetro para que la `True` definición de tareas utilice varias instancias informáticas. Para obtener información sobre la protección de las comunicaciones entre instancias de procesamiento de aprendizaje automático, consulte [Proteger las comunicaciones entre instancias de procesamiento de aprendizaje automático en un trabajo de formación distribuido](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) en la *Guía para desarrolladores de Amazon SageMaker AI*. 

# Controles CSPM de Security Hub para Secrets Manager
<a name="secretsmanager-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Secrets Manager servicio y los recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática
<a name="secretsmanager-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Categoría:** Proteger - Desarrollo seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `maximumAllowedRotationFrequency`  |  Número máximo de días permitidos para la frecuencia de rotación del secreto  |  Entero  |  De `1` a `365`  |  Sin valor predeterminado  | 

Este control comprueba si un secreto almacenado en AWS Secrets Manager está configurado con rotación automática. Se produce un error en el control si el secreto no está configurado con rotación automática. Si proporciona un valor personalizado para el parámetro `maximumAllowedRotationFrequency`, el control solo pasa si el secreto gira automáticamente dentro del margen de tiempo especificado.

Secrets Manager le ayuda a mejorar la posición de seguridad de la organización. Los secretos incluyen credenciales de base de datos, contraseñas y claves de API de terceros. Puede usar Secrets Manager para almacenar secretos de forma centralizada, cifrarlos automáticamente, controlar el acceso a los secretos y renovar los secretos de forma segura y automática.

Secrets Manager puede renovar secretos. Puede usar la rotación para reemplazar los secretos a largo plazo por secretos a corto plazo. La renovar de sus secretos limita el tiempo que un usuario no autorizado puede usar un secreto comprometido. Por este motivo, debe renovar sus secretos con frecuencia. Para obtener más información sobre la rotación, [consulte Cómo girar AWS Secrets Manager los secretos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) en la *Guía del AWS Secrets Manager usuario*.

### Corrección
<a name="secretsmanager-1-remediation"></a>

Para activar la rotación automática de los secretos de Secrets Manager, consulte [Configurar la rotación automática de AWS Secrets Manager los secretos mediante la consola](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) en la *Guía del AWS Secrets Manager usuario*. Debe elegir y configurar una AWS Lambda función de rotación.

## [SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente
<a name="secretsmanager-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Categoría:** Proteger - Desarrollo seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un secreto se ha rotado correctamente en función del programa de rotación. AWS Secrets Manager El control tiene errores si `RotationOccurringAsScheduled` es `false`. El control solo evalúa los secretos que tienen la renovación activada.

Secrets Manager le ayuda a mejorar la posición de seguridad de la organización. Los secretos incluyen credenciales de base de datos, contraseñas y claves de API de terceros. Puede usar Secrets Manager para almacenar secretos de forma centralizada, cifrarlos automáticamente, controlar el acceso a los secretos y renovar los secretos de forma segura y automática.

Secrets Manager puede renovar secretos. Puede usar la rotación para reemplazar los secretos a largo plazo por secretos a corto plazo. La renovar de sus secretos limita el tiempo que un usuario no autorizado puede usar un secreto comprometido. Por este motivo, debe renovar sus secretos con frecuencia.

Además de configurar los secretos para que giren automáticamente, debe asegurarse de que esos secretos giren correctamente según el programa de renovación.

Para obtener más información sobre la renovación, consulte [Cómo renovar sus secretos de AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) en la *Guía del usuario de AWS Secrets Manager *.

### Corrección
<a name="secretsmanager-2-remediation"></a>

Si se produce un error en la renovación automática, es posible que Secrets Manager haya detectado errores en la configuración. La rotación de secretos en requiere el uso de una función de Lambda que defina cómo interactuar con la base de datos o el servicio al que pertenece el secreto.

Para obtener ayuda para diagnosticar y corregir errores comunes relacionados con la rotación de secretos, consulte [Solución de problemas de AWS Secrets Manager rotación de secretos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) en la Guía del *AWS Secrets Manager usuario*.

## [SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
<a name="secretsmanager-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `unusedForDays`  |  Número máximo de días durante el que un secreto puede permanecer sin uso  |  Entero  |  De `1` a `365`  |  `90`  | 

Este control comprueba si se ha accedido a un AWS Secrets Manager secreto dentro del período de tiempo especificado. Se produce un error en el control si un secreto no se utiliza más allá del periodo especificado. A menos que proporciones un valor de parámetro personalizado para el período de acceso, el CSPM de Security Hub utiliza un valor predeterminado de 90 días.

Eliminar los secretos no utilizados es tan importante como renovarlos. Los antiguos usuarios pueden abusar de los secretos no utilizados, ya que ya no necesitan acceder a ellos. Además, a medida que más usuarios acceden a un secreto, es posible que alguien lo haya manipulado mal y lo haya filtrado a una entidad no autorizada, lo que aumenta el riesgo de abuso. Eliminar los secretos no utilizados ayuda a revocar el acceso secreto a los usuarios que ya no lo necesitan. También ayuda a reducir el costo de usar Secrets Manager. Por lo tanto, es esencial eliminar de forma rutinaria los secretos no utilizados.

### Corrección
<a name="secretsmanager-3-remediation"></a>

Para eliminar los secretos inactivos de Secrets Manager, consulte [Eliminar un AWS Secrets Manager secreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html) en la *Guía del AWS Secrets Manager usuario*.

## [SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
<a name="secretsmanager-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)

**Tipo de programa:** Periódico

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `maxDaysSinceRotation`  |  Número máximo de días durante el que un secreto puede permanecer sin cambios  |  Entero  |  De `1` a `180`  |  `90`  | 

Este control comprueba si un AWS Secrets Manager secreto se rota al menos una vez dentro del período de tiempo especificado. Se produce un error en el control si no se rota un secreto al menos con esta frecuencia. A menos que proporciones un valor de parámetro personalizado para el período de rotación, el CSPM de Security Hub utiliza un valor predeterminado de 90 días.

La rotación de los secretos puede ayudarle a reducir el riesgo de que se usen sus secretos sin autorización en su Cuenta de AWS. Los ejemplos incluyen credenciales de base de datos, contraseñas, claves de API de terceros e incluso texto arbitrario. Si no cambia sus secretos durante un largo período de tiempo, los secretos se vuelven más propensos a ser comprometidos.

Ya que hay más usuarios que acceden a un secreto, existen más probabilidades de que alguien haya cometido un error y lo haya filtrado a una entidad no autorizada. Los secretos se pueden filtrar a través de registros y datos de caché. Pueden compartirse con fines de depuración y no pueden cambiarse ni revocarse una vez que se complete la depuración. Por todas estas razones, los secretos deben rotarse con frecuencia.

Puede configurar la renovación automática de los datos secretos en AWS Secrets Manager. Con la rotación automática, puede reemplazar secretos a largo plazo con secretos a corto plazo, lo cual reducirá significativamente el riesgo de peligro. Le sugerimos que configure la rotación automática para sus secretos de Secrets Manager. Para obtener más información, consulte [Rotación de sus secretos de AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) en la *Guía del usuario de AWS Secrets Manager *. 

### Corrección
<a name="secretsmanager-4-remediation"></a>

Para activar la rotación automática de los secretos de Secrets Manager, consulte [Configurar la rotación automática de AWS Secrets Manager los secretos mediante la consola](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) en la *Guía del AWS Secrets Manager usuario*. Debe elegir y configurar una AWS Lambda función de rotación.

## [SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
<a name="secretsmanager-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SecretsManager::Secret`

**AWS Config regla:** `tagged-secretsmanager-secret` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un AWS Secrets Manager secreto tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el secreto no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el secreto no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="secretsmanager-5-remediation"></a>

Para añadir etiquetas a un secreto de Secrets Manager, consulta [Etiquetar AWS Secrets Manager secretos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) en la *Guía del AWS Secrets Manager usuario*.

# Controles CSPM de Security Hub para AWS Service Catalog
<a name="servicecatalog-controls"></a>

Este AWS Security Hub CSPM control evalúa el AWS Service Catalog servicio y los recursos. Es posible que el control no esté disponible en todas las Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización
<a name="servicecatalog-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-6 NIST.800-53.r5 CM-8, NIST.800-53.r5 SC-7

**Categoría:** Proteger - Administración de acceso seguro

**Gravedad:** media

**Tipo de recurso:** `AWS::ServiceCatalog::Portfolio`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html](https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si AWS Service Catalog comparte carteras dentro de una organización cuando la integración con AWS Organizations está habilitada. El control falla si las carteras no se comparten dentro de una organización.

Compartir carteras solo dentro de Organizations permite garantizar que una cartera no se comparta con Cuentas de AWS incorrectas. Para compartir una cartera de Service Catalog con una cuenta de una organización, Security Hub CSPM recomienda utilizarla `ORGANIZATION_MEMBER_ACCOUNT` en lugar de. `ACCOUNT` Esto simplifica la administración al regular el acceso otorgado a la cuenta en toda la organización. Si tiene una necesidad empresarial de compartir carteras de Service Catalog con una cuenta externa, puede [suprimir automáticamente los resultados](automation-rules.md) de este control o [deshabilitarlo](disable-controls-overview.md).

### Corrección
<a name="servicecatalog-1-remediation"></a>

Para habilitar el uso compartido de carteras con AWS Organizations, consulte [Compartir con AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations) en la Guía del *AWS Service Catalog administrador*.

# Controles CSPM de Security Hub para Amazon SES
<a name="ses-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Simple Email Service (Amazon SES).

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [SES.1] Las listas de contactos de SES deben estar etiquetadas
<a name="ses-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SES::ContactList`

**AWS Config regla:** `tagged-ses-contactlist` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una lista de contactos de Amazon SES tiene etiquetas con claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si la lista de contactos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la lista de contactos no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="ses-1-remediation"></a>

Para añadir etiquetas a una lista de contactos de Amazon SES, consulte [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)la *referencia de la API v2 de Amazon SES*.

## [SES.2] Los conjuntos de configuración de SES deben estar etiquetados
<a name="ses-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SES::ConfigurationSet`

**AWS Config regla:** `tagged-ses-configurationset` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si un conjunto de configuración de Amazon SES tiene etiquetas con claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el conjunto de configuración no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el conjunto de configuración no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="ses-2-remediation"></a>

Para añadir etiquetas a un conjunto de configuraciones de Amazon SES, consulte [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)la *referencia de la API v2 de Amazon SES*.

## [SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos
<a name="ses-3"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit 

**Gravedad:** media

**Tipo de recurso:** `AWS::SES::ConfigurationSet`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un conjunto de configuraciones de Amazon SES requiere conexiones TLS. El control falla si la política TLS no está configurada `'REQUIRE'` para un conjunto de configuraciones.

De forma predeterminada, Amazon SES usa un TLS oportunista, lo que significa que los correos electrónicos se pueden enviar sin cifrar si no se puede establecer una conexión TLS con el servidor de correo receptor. Al aplicar el TLS para el envío de correos electrónicos, se garantiza que los mensajes solo se entreguen cuando se pueda establecer una conexión cifrada segura. Esto ayuda a proteger la confidencialidad e integridad del contenido del correo electrónico durante la transmisión entre Amazon SES y el servidor de correo del destinatario. Si no se puede establecer una conexión TLS segura, el mensaje no se entregará, lo que evitará la posible exposición de información confidencial.

**nota**  
Si bien TLS 1.3 es el método de entrega predeterminado para Amazon SES, si no se aplica el requisito de TLS a través de los conjuntos de configuración, los mensajes podrían entregarse en texto sin formato si se produce un error en la conexión TLS. Para superar este control, debe configurar la política de TLS para que se ajuste a las opciones de entrega de su conjunto de `'REQUIRE'` configuraciones de SES. Cuando se requiere TLS, los mensajes solo se entregan si se puede establecer una conexión TLS con el servidor de correo receptor.

### Corrección
<a name="ses-3-remediation"></a>

Para configurar Amazon SES para que requiera conexiones TLS para un conjunto de configuraciones, consulte [Amazon SES y los protocolos de seguridad](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver) en la *Guía para desarrolladores de Amazon SES*.

# Controles de CSPM de Security Hub para Amazon SNS
<a name="sns-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos del Amazon Simple Notification Service (Amazon SNS). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS
<a name="sns-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6), NIst.800-171.r2 3.13.11, NISt.800-171.r2 3.13.16 NIST.800-53.r5 SC-2

**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::SNS::Topic`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un tema de Amazon SNS está cifrado en reposo utilizando claves administradas en AWS Key Management Service (AWS KMS). Los controles fallan si el tema de SNS no utiliza una clave de KMS para el cifrado del servidor (SSE). De forma predeterminada, SNS almacena los mensajes y archivos mediante el cifrado de disco. Para pasar este control, debe optar por utilizar una clave KMS para el cifrado. Esto agrega una capa adicional de seguridad y brinda una mayor flexibilidad de control de acceso.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. AWS Se requieren permisos de API para descifrar los datos antes de que puedan leerse. Recomendamos cifrar temas de SNS con claves de KMS para tener una capa de seguridad adicional.

### Corrección
<a name="sns-1-remediation"></a>

Para habilitar SSE para un tema de SNS, consulte [Habilitación del cifrado del servidor (SSE) para Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Antes de poder usar SSE, también debe configurar AWS KMS key políticas que permitan el cifrado de temas y el cifrado y descifrado de mensajes. Para obtener más información, consulte [Configuración de AWS KMS permisos](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse) en la *Guía para desarrolladores de Amazon Simple Notification Service*.

## [SNS.2] Debe habilitarse el registro del estado de la entrega para los mensajes de notificación enviados a un tema
<a name="sns-2"></a>

**importante**  
Security Hub CSPM retiró este control en abril de 2024. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md).

**Requisitos relacionados:** NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::SNS::Topic`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el registro está habilitado para el estado de entrega de los mensajes de notificación enviados a un tema de Amazon SNS para los puntos de conexión. Este control falla si la notificación del estado de entrega de los mensajes no está habilitada.

El registro es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de los servicios. El registro del estado de entrega de los mensajes aporta información operativa, como la siguiente:
+ Saber si un mensaje se ha entregado al punto de enlace de Amazon SNS.
+ Identificar la respuesta enviada desde el punto de enlace de Amazon SNS a Amazon SNS.
+ Determinar el tiempo de permanencia del mensaje (el tiempo entre la marca de tiempo de publicación y la entrega a un punto de conexión de Amazon SNS).

### Corrección
<a name="sns-2-remediation"></a>

Para configurar el registro del estado de entrega de un tema, consulte el [Estado de entrega de los mensajes de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*.

## [SNS.3] Los temas de SNS deben etiquetarse
<a name="sns-3"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SNS::Topic`

**AWS Config regla:** `tagged-sns-topic` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un tema de Amazon SNS tiene etiquetas con claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el tema no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el tema no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="sns-3-remediation"></a>

Para agregar etiquetas a un tema de SNS, consulte [Configuración de etiquetas de temas de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html) en la *Guía para desarrolladores del servicio de Amazon Simple Notification Service*.

## [SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
<a name="sns-4"></a>

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::SNS::Topic`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si la política de acceso a los temas de Amazon SNS permite el acceso público. Este control falla si la política de acceso a los temas de Amazon SNS permite el acceso público.

Puede utilizar una política de acceso de Amazon SNS con un tema determinado para restringir quién puede trabajar en ese tema (por ejemplo, quién puede publicar mensajes en el tema, quién se puede suscribir al tema, etcétera). Las políticas de SNS pueden conceder acceso a otros Cuentas de AWS usuarios o a los propios usuarios. Cuenta de AWS El uso de un carácter comodín (\$1) en el campo `Principal` de la política de temas y la falta de condiciones para limitar la política de temas pueden provocar la exfiltración de datos, la denegación del servicio o la inyección no deseada de mensajes en el servicio por parte de un atacante.

**nota**  
Este control no evalúa condiciones de políticas que utilicen caracteres comodín o variables. Para generar un resultado `PASSED`, las condiciones de la política de acceso de Amazon SNS para un tema deben usar únicamente valores fijos, es decir, valores que no contengan caracteres comodín ni variables de la política. Para obtener información sobre variables de políticas, consulte [Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de AWS Identity and Access Management *.

### Corrección
<a name="sns-4-remediation"></a>

Para actualizar las políticas de acceso de un tema de SNS, consulte [Información general sobre la administración del acceso en Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html) en la *Guía para desarrolladores del servicio Amazon Simple Notification Service*.

# Controles CSPM de Security Hub para Amazon SQS
<a name="sqs-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos del Amazon Simple Queue Service (Amazon SQS). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo
<a name="sqs-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::SQS::Queue`

**AWS Config regla:** `sqs-queue-encrypted` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una cola de Amazon SQS está cifrada en reposo. El control falla si la cola no está cifrada con una clave administrada por SQL (SSE-SQS) o una clave () (SSE-KMS). AWS Key Management Service AWS KMS

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autorizado acceda a los datos almacenados en el disco. El cifrado del lado del servidor (SSE) protege el contenido de los mensajes de las colas de SQS mediante claves de cifrado administradas por SQS (SSE-SQS) o claves (SSE-KMS). AWS KMS 

### Corrección
<a name="sqs-1-remediation"></a>

Para configurar el SSE para una cola de SQS, consulte [Configuración del cifrado del servidor (SSE) para una cola (consola)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html) en la *Guía para desarrolladores de Amazon Simple Queue Service*.

## [SQS.2] Las colas de SQS deben estar etiquetadas
<a name="sqs-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SQS::Queue`

**AWS Config regla:** `tagged-sqs-queue` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si una cola de Amazon SQS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si la cola no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si la cola no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="sqs-2-remediation"></a>

Para agregar etiquetas a una cola existente mediante la consola de Amazon SQS, consulte [Configuring cost allocation tags for an Amazon SQS queue (console)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html) en la *Guía para desarrolladores de Amazon Simple Queue Service*.

## [SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
<a name="sqs-3"></a>

**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::SQS::Queue`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control verifica si una política de acceso de Amazon SQS permite el acceso público a una cola de SQS. El control falla si una política de acceso de SQS permite el acceso público a la cola.

Una política de acceso a Amazon SQS puede permitir el acceso público a una cola de SQS, lo que podría permitir que un usuario anónimo o cualquier identidad de AWS IAM autenticada accediera a la cola. Las políticas de acceso de SQS suelen permitir este acceso mediante el uso del carácter comodín (`*`) en el elemento `Principal` de la política o al no utilizar condiciones adecuadas para restringir el acceso a la cola, o ambas cosas. Si una política de acceso de SQS permite el acceso público, terceros podrían realizar tareas como recibir mensajes de la cola, enviar mensajes a la cola o modificar la política de acceso de la cola. Esto puede derivar en eventos como exfiltración de datos, denegación de servicio o inyección de mensajes en la cola por parte de un actor malintencionado.

**nota**  
Este control no evalúa condiciones de políticas que utilicen caracteres comodín o variables. Para generar un resultado `PASSED`, las condiciones en la política de acceso de Amazon SQS para una cola deben usar únicamente valores fijos, es decir, valores que no incluyan caracteres comodín ni variables de políticas. Para obtener información sobre variables de políticas, consulte [Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de AWS Identity and Access Management *.

### Corrección
<a name="sqs-3-remediation"></a>

Para obtener información sobre cómo configurar la política de acceso de SQS para una cola de SQS, consulte [Uso de políticas personalizadas con el lenguaje de políticas de acceso de Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) en la *Guía del desarrollador de Amazon Simple Queue Service (Amazon SQS)*.

# Controles CSPM de Security Hub para Step Functions
<a name="stepfunctions-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Step Functions servicio y los recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
<a name="stepfunctions-1"></a>

**Requisitos relacionados:** PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::StepFunctions::StateMachine`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logLevel`  |  Nivel mínimo de registro  |  Enum  |  `ALL, ERROR, FATAL`  |  Sin valor predeterminado  | 

Este control comprueba si una máquina de AWS Step Functions estado tiene activado el registro. El control falla si una máquina de estados no tiene el registro activado. Si proporciona un valor personalizado para el parámetro `logLevel`, el control solo pasa si la máquina de estados tiene activado el nivel de registro especificado.

La monitorización le ayuda a mantener la fiabilidad, la disponibilidad y el rendimiento de Step Functions. Debe recopilar la mayor cantidad de datos de supervisión de los Servicios de AWS que utiliza para poder depurar más fácilmente los fallos multipunto. Tener una configuración de registro definida para sus máquinas de estado de Step Functions le permite realizar un seguimiento del historial de ejecución y los resultados en Amazon CloudWatch Logs. Si lo desea, puede realizar un seguimiento únicamente de los errores o eventos fatales.

### Corrección
<a name="stepfunctions-1-remediation"></a>

Para activar el registro en una máquina de estados de Step Functions, consulte [Configurar el registro](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure) en la *Guía para desarrolladores de AWS Step Functions *.

## [StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
<a name="stepfunctions-2"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::StepFunctions::Activity`

**AWS Config regla:** `tagged-stepfunctions-activity` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  | Sin valor predeterminado  | 

Este control comprueba si una AWS Step Functions actividad tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si la actividad no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si la actividad no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="stepfunctions-2-remediation"></a>

Para agregar etiquetas a una actividad de Step Functions, consulte [Etiquetado en Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html) en la *Guía para desarrolladores de AWS Step Functions *.

# Controles CSPM de Security Hub para Systems Manager
<a name="ssm-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos AWS Systems Manager (SSM). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager
<a name="ssm-1"></a>

**Requisitos relacionados:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), 5 (8), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SA-1 NIst.800-53.r5 SI-2 (3) NIST.800-53.r5 SA-3

**Categoría:** Identificar - Inventario

**Gravedad:** media

**Recurso evaluado:** `AWS::EC2::Instance`

`AWS::EC2::Instance`Recursos de grabación ** AWS Config necesarios:** `AWS::SSM::ManagedInstanceInventory`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si las instancias EC2 de su cuenta detenidas y en ejecución están gestionadas por AWS Systems Manager. Systems Manager es un sistema Servicio de AWS que puede utilizar para ver y controlar su AWS infraestructura.

Para ayudarle a mantener la seguridad y el cumplimiento, Systems Manager analiza las instancias administradas detenidas y en ejecución. Una instancia administrada es una máquina configurada para utilizar Systems Manager. Luego, Systems Manager informa o toma medidas correctivas sobre cualquier infracción de política que detecte. Systems Manager también lo ayuda a configurar y mantener sus instancias administradas. Para obtener más información, consulte la [Guía del usuario de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html).

**nota**  
Este control genera `FAILED` resultados para las instancias EC2 que son instancias de AWS Elastic Disaster Recovery Replication Server administradas por AWS. Una instancia de servidor de replicación es una instancia EC2 que se lanza automáticamente AWS Elastic Disaster Recovery para permitir la replicación continua de datos desde los servidores de origen. AWS elimina intencionadamente el agente Systems Manager (SSM) de estas instancias para mantener el aislamiento y evitar posibles rutas de acceso no deseadas.

### Corrección
<a name="ssm-1-remediation"></a>

Para obtener información sobre la administración de instancias EC2 con AWS Systems Manager, consulte la administración de [hosts de Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) en *AWS Systems Manager la Guía del* usuario. En la sección **de opciones de configuración** de la AWS Systems Manager consola, puede conservar la configuración predeterminada o cambiarla según sea necesario según la configuración que prefiera.

## [SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche
<a name="ssm-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(3), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), NIST.800-171.r2 3.7.1, PCI DSS v3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

**Categoría:** Detectar - Servicios de detección 

**Gravedad:** alta

**Tipo de recurso:** `AWS::SSM::PatchCompliance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el estado de la conformidad de los parches de Systems Manager es `COMPLIANT` o `NON_COMPLIANT` después de instalar el parche en la instancia. El control falla si el estado de conformidad es `NON_COMPLIANT`. El control solo comprueba las instancias administradas por el Administrador de parches de Systems Manager.

Tener las instancias EC2 con parches según lo especificado por su organización reduce la superficie expuesta a ataques de su Cuentas de AWS.

### Corrección
<a name="ssm-2-remediation"></a>

Systems Manager recomienda utilizar [políticas de parches](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) para configurar los parches para las instancias administradas. También puede utilizar los [documentos de Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html), tal y como se describe en el siguiente procedimiento, para aplicar un parche a una instancia.

**Para solucionar parches no conformes**

1. Abra la AWS Systems Manager consola en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En **Administración de nodos**, elija **Ejecutar comando** y, a continuación, elija **Ejecutar comando**.

1. Seleccione la opción para **AWS- RunPatchBaseline**.

1. Cambie la **Operation (Operación)** a **Install (Instalar)**.

1. Seleccione **Elegir las instancias manualmente** y, a continuación, elija las instancias no conformes.

1. Seleccione **Ejecutar**.

1. Una vez completado el comando, para monitorear el nuevo estado de conformidad de las instancias con parches, elija **Conformidad** en el panel de navegación.

## [SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT
<a name="ssm-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 CM-2 (2), NiSt.800-53.r5 CM-8, NiSt.800-53.r5 CM-8 (3), NiSt.800-53.r5 SI-2 (3), PCI DSS v3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

**Categoría:** Detectar - Servicios de detección

**Gravedad:** baja

**Tipo de recurso:** `AWS::SSM::AssociationCompliance`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el estado de conformidad de la AWS Systems Manager asociación es `COMPLIANT` o `NON_COMPLIANT` después de que la asociación se ejecute en una instancia. El control falla si el estado de conformidad de la asociación es `NON_COMPLIANT`.

Una asociación de State Manager es una configuración que se asigna a sus instancias administradas. La configuración define el estado que desea mantener en las instancias. Por ejemplo, una asociación puede especificar que el software antivirus debe estar instalado y ejecutándose en sus instancias, o bien que determinados puertos deben estar cerrados. 

Después de crear una o varias asociaciones de administradores estatales, la información sobre el estado de la conformidad estará disponible inmediatamente. Puede ver el estado de conformidad en la consola o en respuesta a AWS CLI los comandos o las acciones correspondientes de la API de Systems Manager. En el caso de las asociaciones, Conformidad de la configuración muestra el estado de conformidad (`Compliant` o`Non-compliant`). También muestra el nivel de gravedad asignado a la asociación, como `Critical` o `Medium`.

Para obtener más información sobre el cumplimiento de las asociaciones de gerentes estatales, consulte [Acerca del cumplimiento de las asociaciones de gerentes estatales](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) en la *Guía del usuario de AWS Systems Manager *.

### Corrección
<a name="ssm-3-remediation"></a>

Una asociación fallida puede estar relacionada con diferentes factores, como los destinos y los nombres de los documentos de Systems Manager. Para solucionar este problema, primero debe identificar e investigar la asociación consultando el historial de asociaciones. Para obtener instrucciones sobre cómo ver el historial de asociaciones, consulte [Visualización del historial de asociaciones](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html) en la *Guía del usuario de AWS Systems Manager *.

Tras investigar, puede editar la asociación para corregir el problema identificado. Puede editar una asociación para especificar un nuevo nombre, la programación, el nivel de gravedad o los destinos. Tras editar una asociación, AWS Systems Manager crea una nueva versión. Para obtener instrucciones sobre cómo editar una asociación, consulte [Edición y creación de una nueva versión de una asociación](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html) en la *Guía del usuario de AWS Systems Manager *.

## [SSM.4] Los documentos SSM no deben ser públicos
<a name="ssm-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::SSM::Document`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si AWS Systems Manager los documentos que son propiedad de una cuenta son públicos. El control falla si los documentos de Systems Manager que tienen `Self` como propietario son públicos.

Los documentos de Systems Manager que son públicos pueden permitir el acceso no deseado a sus documentos. Un documento público de Systems Manager puede exponer información valiosa sobre su cuenta, sus recursos y sus procesos internos.

A menos que el caso de uso requiera uso compartido público, recomendamos bloquear el uso compartido público para los documentos de Systems Manager que tengan `Self` como propietario.

### Corrección
<a name="ssm-4-remediation"></a>

Para obtener información sobre cómo configurar el uso compartido de documentos de Systems Manager, consulte [Uso compartido de un documento de SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share) en la *Guía del usuario de AWS Systems Manager *.

## [SSM.5] Los documentos de SSM deben estar etiquetados
<a name="ssm-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::SSM::Document`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si un AWS Systems Manager documento tiene las claves de etiquetas especificadas por el `requiredKeyTags` parámetro. El control falla si el documento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no se especifican valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el documento no tiene ninguna. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`. El control no evalúa los documentos de Systems Manager que pertenecen a Amazon.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="ssm-5-remediation"></a>

Para añadir etiquetas a un AWS Systems Manager documento, puedes usar la [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)operación de la AWS Systems Manager API o, si estás usando la AWS CLI, ejecutar el [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)comando. También puede usar la consola de AWS Systems Manager .

## [SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
<a name="ssm-6"></a>

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el CloudWatch registro de Amazon está habilitado para la automatización AWS Systems Manager (SSM). El control falla si el CloudWatch registro no está habilitado para SSM Automation.

SSM Automation es una AWS Systems Manager herramienta que le ayuda a crear soluciones automatizadas para implementar, configurar y administrar AWS los recursos a escala mediante manuales predefinidos o personalizados. Para cumplir requisitos operativos o de seguridad en la organización, podría necesitar proporcionar un registro de los scripts que ejecuta. Puede configurar SSM Automation para enviar el resultado de `aws:executeScript` las acciones de sus runbooks a un grupo de CloudWatch registros de Amazon Logs que especifique. Con CloudWatch Logs, puede monitorear, almacenar y acceder a los archivos de registro de varios archivos. Servicios de AWS

### Corrección
<a name="ssm-6-remediation"></a>

Para obtener información sobre cómo habilitar el CloudWatch registro para SSM Automation, consulte [Registrar los resultados de las acciones de automatización con CloudWatch registros](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html) en la *Guía del AWS Systems Manager usuario*.

## [SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público
<a name="ssm-7"></a>

**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

**Gravedad:** crítica

**Tipo de recurso:** `AWS::::Account`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control verifica si la configuración para bloquear el uso compartido público está habilitada para los documentos de AWS Systems Manager . El control falla si la configuración para bloquear el uso compartido público está desactivada para los documentos de Systems Manager.

La configuración de bloquear el uso compartido público de documentos AWS Systems Manager (SSM) es una configuración a nivel de cuenta. Habilitar esta configuración puede evitar el acceso no deseado a los documentos de SSM. Si habilita esta configuración, el cambio no afecta a los documentos de SSM que actualmente comparte con el público. A menos que el caso de uso requiera compartir documentos de SSM con el público, recomendamos habilitar la configuración para bloquear el uso compartido público. La configuración puede ser diferente para cada uno de ellos. Región de AWS

### Corrección
<a name="ssm-7-remediation"></a>

Para obtener información sobre cómo habilitar la configuración para bloquear el uso compartido público de los documentos de AWS Systems Manager (SSM), consulte [Bloqueo del uso compartido público de documentos de SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access) en la *Guía del usuario de AWS Systems Manager *.

# Controles CSPM de Security Hub para AWS Transfer Family
<a name="transfer-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS Transfer Family servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados
<a name="transfer-1"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Transfer::Workflow`

**AWS Config regla:** `tagged-transfer-workflow` (regla CSPM de Security Hub personalizada)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.  | StringList (máximo de 6 artículos)  | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).  |  No default value  | 

Este control comprueba si un AWS Transfer Family flujo de trabajo tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza error si el flujo de trabajo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el flujo de trabajo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.

**nota**  
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*

### Corrección
<a name="transfer-1-remediation"></a>

**Para agregar etiquetas a un flujo de trabajo de Transfer Family (consola)**

1. Abre la consola. AWS Transfer Family 

1. En el panel de navegación, elija **Workflows (Flujos de trabajo)**. Luego, seleccione el flujo de trabajo que desea etiquetar.

1. Elija **Administrar etiquetas** y luego agregue las etiquetas.

## [Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión
<a name="transfer-2"></a>

**Requisitos relacionados:** PCI NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5 DSS NIST.800-53.r5 SC-8 v4.0.1/4.2.1

**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit

**Gravedad:** media

**Tipo de recurso:** `AWS::Transfer::Server`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si un AWS Transfer Family servidor utiliza un protocolo distinto del FTP para la conexión del punto final. El control lanza error si el servidor utiliza el protocolo FTP para que un cliente se conecte al punto de conexión del servidor.

El protocolo de transferencia de archivos (FTP) establece la conexión del punto de conexión mediante canales no cifrados, lo que hace que los datos enviados a través de estos canales sean vulnerables a la interceptación. El uso de SFTP (protocolo de transferencia de archivos SSH), FTPS (protocolo de transferencia de archivos seguro) o AS2 (declaración de aplicabilidad 2) ofrece un nivel adicional de seguridad al cifrar los datos en tránsito y se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red.

### Corrección
<a name="transfer-2-remediation"></a>

Para modificar el protocolo de un servidor de Transfer Family, consulte [Edición de los protocolos de transferencia de archivos](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols) en la *Guía del usuario de AWS Transfer Family *.

## [Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
<a name="transfer-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-2 (12), NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NiSt.800-53.r5 SI-3 (8), NiSt.800-53.r5 SI-4, NiSt.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8)

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::Transfer::Connector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si el CloudWatch registro de Amazon está habilitado para un AWS Transfer Family conector. El control falla si el CloudWatch registro no está activado en el conector.

Amazon CloudWatch es un servicio de supervisión y observabilidad que proporciona visibilidad de sus AWS recursos, incluidos los AWS Transfer Family recursos. Para Transfer Family, CloudWatch proporciona auditoría y registro consolidados del progreso y los resultados del flujo de trabajo. Esto incluye varias métricas que Transfer Family define para los flujos de trabajo. Puede configurar Transfer Family para que registre automáticamente los eventos del conector CloudWatch. Para hacerlo, especifica un rol de registro para el conector. Para el rol de registro, crea un rol de IAM y una política de IAM basada en recursos que definen los permisos del rol.

### Corrección
<a name="transfer-3-remediation"></a>

Para obtener información sobre cómo habilitar el CloudWatch registro para un conector Transfer Family, consulte [Amazon CloudWatch logging for AWS Transfer Family servers](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html) en la *Guía del AWS Transfer Family usuario*.

## [Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
<a name="transfer-4"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Transfer::Agreement`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si un AWS Transfer Family acuerdo tiene las claves de etiqueta especificadas en el `requiredKeyTags` parámetro. El control falla si el acuerdo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no se especifican valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el acuerdo no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="transfer-4-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a un AWS Transfer Family acuerdo, consulte los [métodos de etiquetado de recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) en la Guía del *usuario de Tagging AWS Resources y Tag Editor*.

## [Transfer.5] Los certificados de Transfer Family deben estar etiquetados
<a name="transfer-5"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Transfer::Certificate`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si un AWS Transfer Family certificado tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si el certificado no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no se especifican valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el certificado no tiene ninguna. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="transfer-5-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a un AWS Transfer Family certificado, consulte los [métodos de etiquetado de recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) en la Guía del *usuario de Tagging AWS Resources y Tag Editor*.

## [Transfer.6] Los conectores de Transfer Family deben estar etiquetados
<a name="transfer-6"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Transfer::Connector`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si un AWS Transfer Family conector tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si el conector no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no se especifican valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el conector no tiene ninguna. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="transfer-6-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a un AWS Transfer Family conector, consulte los [métodos de etiquetado de recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) en la Guía del *usuario de Tagging AWS Resources y Tag Editor*.

## [Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
<a name="transfer-7"></a>

**Categoría:** Identificar > Inventario > Etiquetado

**Gravedad:** baja

**Tipo de recurso:** `AWS::Transfer::Profile`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:**


| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado | 

Este control comprueba si un AWS Transfer Family perfil tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si el perfil no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no se especifican valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el perfil no tiene ninguna. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`. El control evalúa perfiles locales y perfiles de socios.

Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**nota**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.

### Corrección
<a name="transfer-7-remediation"></a>

Para obtener información sobre cómo añadir etiquetas a un AWS Transfer Family perfil, consulte los [métodos de etiquetado de recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) en la Guía del *usuario de Tagging AWS Resources y Tag Editor*.

# Controles CSPM de Security Hub para AWS WAF
<a name="waf-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el AWS WAF servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
<a name="waf-1"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::WAF::WebACL`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si AWS WAF el registro está habilitado para una ACL web global. Este control falla si el registro no está habilitado para la ACL web.

El registro es una parte importante del mantenimiento de la confiabilidad, la disponibilidad y el rendimiento de AWS WAF todo el mundo. Es un requisito empresarial y de conformidad en muchas organizaciones, y permite solucionar problemas de comportamiento de las aplicaciones. También proporciona información detallada sobre el tráfico que analiza la ACL web a la que se conecta AWS WAF.

### Corrección
<a name="waf-1-remediation"></a>

Para habilitar el registro de una ACL AWS WAF web, consulte [Registrar la información del tráfico de una ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html) en la *Guía para AWS WAF desarrolladores*.

## [WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición
<a name="waf-2"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::WAFRegional::Rule`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una regla AWS WAF regional tiene al menos una condición. El control falla si no hay condiciones presentes en una regla.

Una regla de WAF Regional puede contener varias condiciones. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna condición, el tráfico pasa sin inspección. Una regla de WAF Regional sin condiciones, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

### Corrección
<a name="waf-2-remediation"></a>

Para añadir una condición a una regla vacía, consulta [Añadir y eliminar condiciones en una regla](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) en la *Guía para desarrolladores de AWS WAF *.

## [WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
<a name="waf-3"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::WAFRegional::RuleGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de reglas AWS WAF regionales tiene al menos una regla. El control falla si no hay reglas presentes en un grupo de reglas.

Un grupo de reglas de WAF Regionales puede contener varias reglas. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna regla, el tráfico pasa sin inspección. Un grupo de reglas de WAF Regionales sin reglas, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

### Corrección
<a name="waf-3-remediation"></a>

Para agregar reglas y condiciones de reglas a un grupo de reglas vacío, consulte [Agregar y eliminar reglas de un grupo de reglas AWS WAF clásico](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html) y [Agregar y eliminar condiciones en una regla](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) en la *Guía para AWS WAF desarrolladores*.

## [WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
<a name="waf-4"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::WAFRegional::WebACL`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una ACL AWS WAF Classic Regional web contiene reglas de WAF o grupos de reglas de WAF. Este control falla si una ACL web no contiene ninguna regla o grupo de reglas de WAF.

Una ACL web de WAF Regional puede contener una colección de reglas y grupos de reglas que inspeccionan y controlan las solicitudes web. Si una ACL web está vacía, el tráfico web puede pasar sin que el WAF lo detecte ni actúe en consecuencia, según la acción predeterminada.

### Corrección
<a name="waf-4-remediation"></a>

Para agregar reglas o grupos de reglas a una ACL web regional AWS WAF clásica vacía, consulte [Edición de una ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) en la Guía para *AWS WAF desarrolladores*.

## [WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
<a name="waf-6"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::WAF::Rule`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una regla global contiene alguna condición. AWS WAF El control falla si no hay condiciones presentes en una regla.

Una regla de WAF global puede contener varias condiciones. Las condiciones de una regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna condición, el tráfico pasa sin inspección. Una regla de WAF global sin condiciones, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

### Corrección
<a name="waf-6-remediation"></a>

Para obtener instrucciones sobre cómo crear una regla y añadir condiciones, consulte [Creación de una regla y adición de condiciones](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html) en la *Guía para desarrolladores de AWS WAF *.

## [WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
<a name="waf-7"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::WAF::RuleGroup`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un grupo de reglas AWS WAF globales tiene al menos una regla. El control falla si no hay reglas presentes en un grupo de reglas.

Un grupo de reglas globales de WAF puede contener varias reglas. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna regla, el tráfico pasa sin inspección. Un grupo de reglas globales de la WAF sin reglas, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

### Corrección
<a name="waf-7-remediation"></a>

Para obtener instrucciones sobre cómo agregar una regla a un grupo de reglas, consulte [Creación de un grupo de reglas AWS WAF clásico](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html) en la *Guía para AWS WAF desarrolladores*.

## [WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
<a name="waf-8"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (21) NIST.800-53.r5 SC-7

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::WAF::WebACL`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una ACL web AWS WAF global contiene al menos una regla de WAF o un grupo de reglas de WAF. El control falla si una ACL web no contiene ninguna regla o grupo de reglas de WAF.

Una ACL web global de WAF puede contener una colección de reglas y grupos de reglas que inspeccionan y controlan las solicitudes web. Si una ACL web está vacía, el tráfico web puede pasar sin que el WAF lo detecte ni actúe en consecuencia, según la acción predeterminada.

### Corrección
<a name="waf-8-remediation"></a>

Para agregar reglas o grupos de reglas a una ACL web AWS WAF global vacía, consulte [Edición de una ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) en la Guía para *AWS WAF desarrolladores*. Para **Filtrar**, elija **Global (CloudFront)**.

## [WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
<a name="waf-10"></a>

**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoría:** Proteger - Configuración de red segura

**Gravedad:** media

**Tipo de recurso:** `AWS::WAFv2::WebACL`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una lista de control de acceso web AWS WAF(ACL web) de la versión 2 contiene al menos una regla o un grupo de reglas. El control falla si una ACL web no contiene ninguna regla o grupo de reglas.

Una ACL web le proporciona un control detallado de todas las solicitudes web HTTP(S) a las que responde su recurso protegido. Una ACL web debe contener una colección de reglas y grupos de reglas que inspeccionen y controlen las solicitudes web. Si una ACL web está vacía, el tráfico web puede pasar sin que se detecte ni se actúe en consecuencia, AWS WAF según la acción predeterminada.

### Corrección
<a name="waf-10-remediation"></a>

Para agregar reglas o grupos de reglas a una ACL WAFV2 web vacía, consulte [Edición de una ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html) en la *Guía para AWS WAF desarrolladores*.

## [WAF.11] El registro de ACL AWS WAF web debe estar habilitado
<a name="waf-11"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NiST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

**Categoría:** Identificar - Registro

**Gravedad:** baja

**Tipo de recurso:** `AWS::WAFv2::WebACL`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``

**Tipo de programa:** Periódico

**Parámetros:** ninguno

Este control comprueba si el registro está activado para una lista de control de acceso web (ACL web) de la AWS WAF versión 2. Este control falla si el registro está desactivado para la ACL web.

**nota**  
Este control no comprueba si el registro de ACL AWS WAF web está habilitado para una cuenta a través de Amazon Security Lake.

El registro mantiene la confiabilidad, la disponibilidad y el rendimiento de AWS WAF. Además, el registro es un requisito empresarial y de conformidad en muchas organizaciones. Al registrar el tráfico analizado por su ACL web, puede solucionar problemas de comportamiento de las aplicaciones.

### Corrección
<a name="waf-11-remediation"></a>

Para activar el registro de una ACL AWS WAF web, consulte [Administrar el registro de una ACL web en la Guía para AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) *desarrolladores*.

## AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch
<a name="waf-12"></a>

**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIst.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), NIst.800-171.r2 3.14.6, NIst.800-171.r2 3.14.7

**Categoría:** Identificar - Registro

**Gravedad:** media

**Tipo de recurso:** `AWS::WAFv2::RuleGroup`

**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si una AWS WAF regla o un grupo de reglas tienen habilitadas CloudWatch las métricas de Amazon. El control falla si la regla o el grupo de reglas no tienen CloudWatch las métricas habilitadas.

La configuración de las CloudWatch métricas de AWS WAF las reglas y los grupos de reglas proporciona visibilidad del flujo de tráfico. Puede ver qué reglas de ACL se activan y qué solicitudes se aceptan y bloquean. Esta visibilidad puede ayudarle a identificar actividades maliciosas en los recursos asociados.

### Corrección
<a name="waf-12-remediation"></a>

Para habilitar CloudWatch las métricas en un grupo de AWS WAF reglas, invoca la [ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html)API. Para habilitar CloudWatch las métricas en una AWS WAF regla, invoca la API [ UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html). Establezca el campo `CloudWatchMetricsEnabled` como `true`. Cuando utiliza la AWS WAF consola para crear reglas o grupos de reglas, las CloudWatch métricas se habilitan automáticamente.

# Controles CSPM de Security Hub para WorkSpaces
<a name="workspaces-controls"></a>

Estos AWS Security Hub CSPM controles evalúan el WorkSpaces servicio y los recursos de Amazon.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).

## [WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
<a name="workspaces-1"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::WorkSpaces::Workspace`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un volumen de usuarios de Amazon WorkSpaces WorkSpace está cifrado en reposo. El control falla si el volumen WorkSpace de usuarios no está cifrado en reposo.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="workspaces-1-remediation"></a>

Para cifrar un volumen de WorkSpaces usuarios, consulte [Cifrar a WorkSpace en la Guía](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) de * WorkSpaces administración de Amazon*.

## [WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
<a name="workspaces-2"></a>

**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest

**Gravedad:** media

**Tipo de recurso:** `AWS::WorkSpaces::Workspace`

**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html)

**Tipo de horario:** provocado por un cambio

**Parámetros:** ninguno

Este control comprueba si un volumen raíz de Amazon WorkSpaces WorkSpace está cifrado en reposo. El control falla si el volumen WorkSpace raíz no está cifrado en reposo.

Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.

### Corrección
<a name="workspaces-2-remediation"></a>

Para cifrar un volumen WorkSpaces raíz, consulte [Cifrar a WorkSpace en la Guía](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) de * WorkSpaces administración de Amazon*.