Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Límites regionales del CSPM de Security Hub
Algunas funciones CSPM de AWS Security Hub solo están disponibles en algunas. Regiones de AWS En las siguientes secciones se especifican estos límites regionales. Para obtener una lista de todas las regiones en las que el CSPM de Security Hub se encuentra actualmente disponible, consulte [Puntos de conexión y cuotas del CSPM de AWS Security Hub](https://docs.aws.amazon.com/general/latest/gr/sechub.html) en la *Referencia general de AWS*.
## Restricciones de agregación entre regiones
En AWS GovCloud (US) Regions, [la agregación entre regiones solo](finding-aggregation.md) está disponible para los hallazgos, las actualizaciones de las búsquedas y la información de carácter global. AWS GovCloud (US) Regions En concreto, solo puede agregar los hallazgos, las actualizaciones y los conocimientos entre las regiones (EE. UU. Este) y AWS GovCloud AWS GovCloud (EE. UU. Oeste).
En las regiones de China, la agregación entre regiones solo está disponible para los resultados, las actualizaciones de resultados y los hallazgos de las regiones de China. En concreto, solo puede agregar resultados, actualizaciones de resultados y productos de información entre las regiones China (Pekín) y China (Ningxia).
No puede usar una región que esté desactivada de forma predeterminada como región de agregación. Para ver una lista de las regiones que están deshabilitadas de forma predeterminada, consulta la [sección Habilitar o deshabilitar Regiones de AWS tu cuenta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) en la Guía de *AWS Account Management referencia*.
## Disponibilidad de las integraciones por región
Algunas integraciones no están disponibles en todas Regiones de AWS. En la consola del CSPM de Security Hub, una integración no aparece en la página de **Integraciones** si no está disponible en la región en la que ha iniciado sesión.
### Integraciones admitidas en las regiones China (Pekín) y China (Ningxia)
En las regiones China (Pekín) y China (Ningxia), el CSPM de Security Hub admite únicamente las siguientes [integraciones con Servicios de AWS](securityhub-internal-providers.md):
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Identity and Access Management Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender
+ AWS Systems Manager Explorer
+ AWS Systems Manager OpsCenter
+ AWS Systems Manager Administrador de parches
En las regiones China (Pekín) y China (Ningxia), el CSPM de Security Hub admite únicamente las siguientes [integraciones con terceros](securityhub-partner-providers.md):
+ Cloud Custodian
+ FireEye Helix
+ Helecloud
+ IBM QRadar
+ PagerDuty
+ Palo Alto Networks Cortex XSOAR
+ Palo Alto Networks VM-Series
+ Prowler
+ RSA Archer
+ Splunk Enterprise
+ Splunk Phantom
+ ThreatModeler
### Se admiten integraciones en las regiones AWS GovCloud (EE. UU. Este) y AWS GovCloud (EE. UU. Oeste)
[En las regiones AWS GovCloud (EE. UU. Este) y AWS GovCloud (EE. UU. Oeste), Security Hub CSPM solo admite las siguientes integraciones con: Servicios de AWS](securityhub-internal-providers.md)
+ AWS Config
+ Amazon Detective
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Health
+ Analizador de acceso de IAM
+ Amazon Inspector
+ AWS IoT Device Defender
[En las regiones AWS GovCloud (EE. UU. Este) y AWS GovCloud (EE. UU. Oeste), Security Hub CSPM solo admite las siguientes integraciones de terceros:](securityhub-partner-providers.md)
+ Atlassian Jira Service Management
+ Atlassian Jira Service Management Cloud
+ Atlassian OpsGenie
+ Caveonix Cloud
+ Cloud Custodian
+ Cloud Storage Security Antivirus for Amazon S3
+ CrowdStrike Falcon
+ FireEye Helix
+ Forcepoint CASB
+ Forcepoint DLP
+ Forcepoint NGFW
+ Fugue
+ Kion
+ MicroFocus ArcSight
+ NETSCOUT Cyber Investigator
+ PagerDuty
+ Palo Alto Networks – Prisma Cloud Compute
+ Palo Alto Networks – Prisma Cloud Enterprise
+ Palo Alto Networks – VM-Series(disponible solo en (EE. UU. Oeste)) AWS GovCloud
+ Prowler
+ Rackspace Technology – Cloud Native Security
+ Rapid7 InsightConnect
+ RSA Archer
+ ServiceNow ITSM
+ Slack
+ ThreatModeler
+ Vectra AI Cognito Detect
## Disponibilidad de los estándares por región
El [estándar AWS Control Tower de gestión de servicios](service-managed-standard-aws-control-tower.md) solo está disponible en Regiones de AWS aquellos soportes. AWS Control Tower Para obtener una lista de las regiones compatibles AWS Control Tower actualmente, consulte [Cómo Regiones de AWS trabajar con](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html) ellas AWS Control Tower en la Guía del *AWS Control Tower usuario*.
El [estándar AWS de etiquetado de recursos](standards-tagging.md) no está disponible en la región de Asia Pacífico (Taipéi).
Hay otros estándares de seguridad disponibles en todas las regiones en las que el CSPM de Security Hub está disponible.
## Disponibilidad de los controles por región
Algunos controles CSPM de Security Hub no están disponibles en todos. Regiones de AWSPara obtener una lista de los controles que no están disponibles en cada región, consulte [Límites regionales de los controles del CSPM de Security Hub](regions-controls.md).
En la consola del CSPM de Security Hub, un control no aparece en la lista si no está disponible en la región en la que ha iniciado sesión. La excepción es una región de agregación. Si configuró una región de agregación e inicia sesión en esa región, la consola muestra los controles que están disponibles en la región de agregación o en una o más regiones vinculadas.
# Límites regionales de los controles del CSPM de Security Hub
Algunos controles CSPM de AWS Security Hub no están disponibles en todos. Regiones de AWS Esta página indica qué controles no están disponibles en regiones específicas.
En la consola del CSPM de Security Hub, un control no aparece en la lista si no está disponible en la región en la que ha iniciado sesión. La excepción es una región de agregación. Si configuró una región de agregación e inicia sesión en esa región, la consola muestra los controles que están disponibles en la región de agregación o en una o más regiones vinculadas.
**Topics**
+ [
## Este de EE. UU. (Norte de Virginia)
](#securityhub-control-support-useast1)
+ [
## Este de EE. UU. (Ohio)
](#securityhub-control-support-useast2)
+ [
## Oeste de EE. UU. (Norte de California)
](#securityhub-control-support-uswest1)
+ [
## Oeste de EE. UU. (Oregón)
](#securityhub-control-support-uswest2)
+ [
## África (Ciudad del Cabo)
](#securityhub-control-support-afsouth1)
+ [
## Asia-Pacífico (Hong Kong)
](#securityhub-control-support-apeast1)
+ [
## Asia-Pacífico (Hyderabad)
](#securityhub-control-support-apsouth2)
+ [
## Asia-Pacífico (Yakarta)
](#securityhub-control-support-apsoutheast3)
+ [
## Asia-Pacífico (Malasia)
](#securityhub-control-support-apsoutheast5)
+ [
## Asia-Pacífico (Melbourne)
](#securityhub-control-support-apsoutheast4)
+ [
## Asia-Pacífico (Mumbai)
](#securityhub-control-support-apsouth1)
+ [
## Asia-Pacífico (Nueva Zelanda)
](#securityhub-control-support-apsoutheast6)
+ [
## Asia-Pacífico (Osaka)
](#securityhub-control-support-apnortheast3)
+ [
## Asia-Pacífico (Seúl)
](#securityhub-control-support-apnortheast2)
+ [
## Asia-Pacífico (Singapur)
](#securityhub-control-support-apsoutheast1)
+ [
## Asia-Pacífico (Sídney)
](#securityhub-control-support-apsoutheast2)
+ [
## Asia-Pacífico (Taipéi)
](#securityhub-control-support-apeast2)
+ [
## Asia-Pacífico (Tailandia)
](#securityhub-control-support-apsoutheast7)
+ [
## Asia-Pacífico (Tokio)
](#securityhub-control-support-apnortheast1)
+ [
## Canadá (centro)
](#securityhub-control-support-cacentral1)
+ [
## Oeste de Canadá (Calgary)
](#securityhub-control-support-cawest1)
+ [
## China (Pekín)
](#securityhub-control-support-cnnorth1)
+ [
## China (Ningxia)
](#securityhub-control-support-cnnorthwest1)
+ [
## Europa (Fráncfort)
](#securityhub-control-support-eucentral1)
+ [
## Europa (Irlanda)
](#securityhub-control-support-euwest1)
+ [
## Europa (Londres)
](#securityhub-control-support-euwest2)
+ [
## Europa (Milán)
](#securityhub-control-support-eusouth1)
+ [
## Europa (París)
](#securityhub-control-support-euwest3)
+ [
## Europa (España)
](#securityhub-control-support-eusouth2)
+ [
## Europa (Estocolmo)
](#securityhub-control-support-eunorth1)
+ [
## Europa (Zúrich)
](#securityhub-control-support-eucentral2)
+ [
## Israel (Tel Aviv)
](#securityhub-control-support-ilcentral1)
+ [
## México (centro)
](#securityhub-control-support-mxcentral1)
+ [
## Middle East (Bahrain)
](#securityhub-control-support-mesouth1)
+ [
## Medio Oriente (EAU)
](#securityhub-control-support-mecentral1)
+ [
## América del Sur (São Paulo)
](#securityhub-control-support-saeast1)
+ [
## AWS GovCloud (Este de EE. UU.)
](#securityhub-control-support-usgoveast1)
+ [
## AWS GovCloud (EEUU-Oeste)
](#securityhub-control-support-usgovwest1)
## Este de EE. UU. (Norte de Virginia)
Los siguientes controles no se admiten en la región este de EE. UU. (norte de Virginia).
+ [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
## Este de EE. UU. (Ohio)
Los siguientes controles no se admiten en la región este de EE. UU. (Ohio).
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Oeste de EE. UU. (Norte de California)
Los siguientes controles no se admiten en la región oeste de EE. UU. (norte de California).
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47)
+ [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48)
+ [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Oeste de EE. UU. (Oregón)
Los siguientes controles no se admiten en la región oeste de EE. UU. (Oregón).
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
## África (Ciudad del Cabo)
Los siguientes controles no se admiten en la región África (Ciudad del Cabo).
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
## Asia-Pacífico (Hong Kong)
Los siguientes controles no se admiten en la región Asia-Pacífico (Hong Kong).
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1)
+ [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Asia-Pacífico (Hyderabad)
Los siguientes controles no se admiten en la región Asia-Pacífico (Hyderabad).
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34)
+ [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)
+ [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4)
+ [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9)
+ [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37)
+ [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10)
+ [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7)
+ [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Asia-Pacífico (Yakarta)
Los siguientes controles no se admiten en la región Asia-Pacífico (Yakarta).
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1)
+ [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Asia-Pacífico (Malasia)
Los siguientes controles no se admiten en la región Asia-Pacífico (Malasia).
+ [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)
+ [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2)
+ [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2)
+ [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado](athena-controls.md#athena-4)
+ [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados](backup-controls.md#backup-2)
+ [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4)
+ [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1)
+ [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2)
+ [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3)
+ [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4)
+ [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3)
+ [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4)
+ [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] DataSync las tareas deberían tener el registro activado](datasync-controls.md#datasync-1)
+ [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28)
+ [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34)
+ [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)
+ [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181)
+ [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1)
+ [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2)
+ [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3)
+ [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4)
+ [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5)
+ [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8)
+ [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9)
+ [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17)
+ [[ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada](ecs-controls.md#ecs-19)
+ [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2)
+ [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3)
+ [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4)
+ [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6)
+ [[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas](efs-controls.md#efs-7)
+ [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8)
+ [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)
+ [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3)
+ [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7)
+ [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8)
+ [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10)
+ [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12)
+ [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)
+ [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2)
+ [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3)
+ [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[ES.9] Los dominios de Elasticsearch deben estar etiquetados](es-controls.md#es-9)
+ [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] los AWS Glue trabajos deben estar etiquetados](glue-controls.md#glue-1)
+ [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10)
+ [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)
+ [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)
+ [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)
+ [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)
+ [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)
+ [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)
+ [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)
+ [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)
+ [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5)
+ [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5)
+ [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4)
+ [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6)
+ [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1)
+ [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9)
+ [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1)
+ [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [Las instancias de RDS [RDS.18] deben implementarse en una VPC](rds-controls.md#rds-18)
+ [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24)
+ [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25)
+ [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26)
+ [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito](rds-controls.md#rds-38)
+ [[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito](rds-controls.md#rds-39)
+ [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41)
+ [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43)
+ [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44)
+ [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45)
+ [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46)
+ [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47)
+ [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8)
+ [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10)
+ [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15)
+ [[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad](redshift-controls.md#redshift-16)
+ [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17)
+ [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7)
+ [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10)
+ [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)
+ [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12)
+ [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13)
+ [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19)
+ [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)
+ [[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22)
+ [[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4)
+ [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4)
+ [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5)
+ [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2)
+ [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5)
+ [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6)
+ [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Asia-Pacífico (Melbourne)
Los siguientes controles no se admiten en la región Asia-Pacífico (Melbourne).
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2)
+ [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1)
+ [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3)
+ [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4)
+ [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34)
+ [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1)
+ [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10)
+ [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)
+ [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)
+ [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)
+ [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)
+ [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)
+ [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)
+ [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)
+ [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9)
+ [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1)
+ [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4)
+ [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Asia-Pacífico (Mumbai)
Los siguientes controles no se admiten en la región Asia-Pacífico (Bombay).
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
## Asia-Pacífico (Nueva Zelanda)
Los siguientes controles no se admiten en la región Asia-Pacífico (Nueva Zelanda).
+ [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)
+ [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2)
+ [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2)
+ [[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado](appsync-controls.md#appsync-4)
+ [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Athena.2] Los catálogos de datos de Athena deben estar etiquetados](athena-controls.md#athena-2)
+ [[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados](athena-controls.md#athena-3)
+ [[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado](athena-controls.md#athena-4)
+ [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados](backup-controls.md#backup-2)
+ [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4)
+ [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1)
+ [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2)
+ [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3)
+ [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4)
+ [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3)
+ [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4)
+ [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] DataSync las tareas deberían tener el registro activado](datasync-controls.md#datasync-1)
+ [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28)
+ [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34)
+ [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)
+ [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171)
+ [[EC2.172] Los ajustes de Bloqueo de acceso público de las VPC de EC2 deben bloquear el tráfico de las puertas de enlace de Internet](ec2-controls.md#ec2-172)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181)
+ [[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público](ec2-controls.md#ec2-182)
+ [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1)
+ [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2)
+ [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3)
+ [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4)
+ [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5)
+ [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8)
+ [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9)
+ [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas](ecs-controls.md#ecs-16)
+ [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17)
+ [[ECS.18] Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS](ecs-controls.md#ecs-18)
+ [[ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada](ecs-controls.md#ecs-19)
+ [[ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux](ecs-controls.md#ecs-20)
+ [[ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows](ecs-controls.md#ecs-21)
+ [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2)
+ [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3)
+ [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4)
+ [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6)
+ [[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas](efs-controls.md#efs-7)
+ [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8)
+ [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)
+ [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3)
+ [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7)
+ [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10)
+ [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12)
+ [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.16] Los AWS WAF balanceadores de carga de aplicaciones deben estar asociados a una ACL web](elb-controls.md#elb-16)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18)
+ [[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados](elb-controls.md#elb-21)
+ [[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados](elb-controls.md#elb-22)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)
+ [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2)
+ [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3)
+ [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4)
+ [[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[ES.9] Los dominios de Elasticsearch deben estar etiquetados](es-controls.md#es-9)
+ [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] los AWS Glue trabajos deben estar etiquetados](glue-controls.md#glue-1)
+ [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets debe estar etiquetado](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] GuardDuty los detectores deben estar etiquetados](guardduty-controls.md#guardduty-4)
+ [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10)
+ [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)
+ [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)
+ [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)
+ [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)
+ [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)
+ [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)
+ [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)
+ [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)
+ [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5)
+ [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5)
+ [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4)
+ [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6)
+ [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1)
+ [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9)
+ [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1)
+ [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [Las instancias de RDS [RDS.18] deben implementarse en una VPC](rds-controls.md#rds-18)
+ [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24)
+ [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25)
+ [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26)
+ [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito](rds-controls.md#rds-38)
+ [[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito](rds-controls.md#rds-39)
+ [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41)
+ [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43)
+ [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44)
+ [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45)
+ [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46)
+ [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47)
+ [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48)
+ [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50)
+ [[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1)
+ [Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas](redshift-controls.md#redshift-3)
+ [Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4)
+ [Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales](redshift-controls.md#redshift-6)
+ [Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado](redshift-controls.md#redshift-7)
+ [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8)
+ [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10)
+ [[Redshift.11] Los clústeres de Redshift deben etiquetarse](redshift-controls.md#redshift-11)
+ [[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse](redshift-controls.md#redshift-13)
+ [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15)
+ [[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad](redshift-controls.md#redshift-16)
+ [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17)
+ [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7)
+ [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10)
+ [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)
+ [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12)
+ [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13)
+ [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19)
+ [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)
+ [[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22)
+ [[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1)
+ [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4)
+ [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2)
+ [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4)
+ [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5)
+ [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1)
+ [Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados](transfer-controls.md#transfer-1)
+ [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2)
+ [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5)
+ [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6)
+ [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [[WAF.11] El registro de ACL AWS WAF web debe estar habilitado](waf-controls.md#waf-11)
+ [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Asia-Pacífico (Osaka)
Los siguientes controles no se admiten en la región Asia-Pacífico (Osaka).
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2)
+ [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Asia-Pacífico (Seúl)
Los siguientes controles no se admiten en la región Asia-Pacífico (Seúl).
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
## Asia-Pacífico (Singapur)
Los siguientes controles no se admiten en la región Asia-Pacífico (Singapur).
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
## Asia-Pacífico (Sídney)
Los siguientes controles no se admiten en la región Asia-Pacífico (Sídney).
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
## Asia-Pacífico (Taipéi)
Los siguientes controles no se admiten en la región Asia-Pacífico (Taipéi).
+ [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)
+ [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2)
+ [[ACM.3] Los certificados ACM deben estar etiquetados](acm-controls.md#acm-3)
+ [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2)
+ [[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado](appsync-controls.md#appsync-4)
+ [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Athena.2] Los catálogos de datos de Athena deben estar etiquetados](athena-controls.md#athena-2)
+ [[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados](athena-controls.md#athena-3)
+ [[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado](athena-controls.md#athena-4)
+ [[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB](autoscaling-controls.md#autoscaling-1)
+ [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9)
+ [[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados](autoscaling-controls.md#autoscaling-10)
+ [[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas](autoscaling-controls.md#autoscaling-5)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados](backup-controls.md#backup-2)
+ [[Backup.3] las AWS Backup bóvedas deben estar etiquetadas](backup-controls.md#backup-3)
+ [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4)
+ [[Backup.5] los planes de AWS Backup respaldo deben estar etiquetados](backup-controls.md#backup-5)
+ [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1)
+ [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2)
+ [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3)
+ [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4)
+ [[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas](cloudformation-controls.md#cloudformation-2)
+ [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.9] las CloudTrail rutas deben estar etiquetadas](cloudtrail-controls.md#cloudtrail-9)
+ [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3)
+ [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4)
+ [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] DataSync las tareas deberían tener el registro activado](datasync-controls.md#datasync-1)
+ [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas](dms-controls.md#dms-1)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.5] Las tablas de DynamoDB deben etiquetarse](dynamodb-controls.md#dynamodb-5)
+ [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo](ec2-controls.md#ec2-19)
+ [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28)
+ [[EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-33)
+ [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34)
+ [[EC2.35] Las interfaces de red de EC2 deben etiquetarse](ec2-controls.md#ec2-35)
+ [[EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse](ec2-controls.md#ec2-36)
+ [[EC2.37] Las direcciones IP elásticas de EC2 deben etiquetarse](ec2-controls.md#ec2-37)
+ [[EC2.38] Las instancias de EC2 deben etiquetarse](ec2-controls.md#ec2-38)
+ [[EC2.39] Las puertas de enlace de Internet de EC2 deben etiquetarse](ec2-controls.md#ec2-39)
+ [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40)
+ [[EC2.41] La red EC2 debe estar etiquetada ACLs](ec2-controls.md#ec2-41)
+ [[EC2.42] Las tablas de enrutamiento de EC2 deben etiquetarse](ec2-controls.md#ec2-42)
+ [[EC2.43] Los grupos de seguridad de EC2 deben etiquetarse](ec2-controls.md#ec2-43)
+ [[EC2.44] Las subredes de EC2 deben etiquetarse](ec2-controls.md#ec2-44)
+ [[EC2.45] Los volúmenes de EC2 deben etiquetarse](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs debe estar etiquetado](ec2-controls.md#ec2-46)
+ [[EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse](ec2-controls.md#ec2-47)
+ [[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse](ec2-controls.md#ec2-48)
+ [[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben etiquetarse](ec2-controls.md#ec2-49)
+ [[EC2.50] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-50)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-52)
+ [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)
+ [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171)
+ [[EC2.172] Los ajustes de Bloqueo de acceso público de las VPC de EC2 deben bloquear el tráfico de las puertas de enlace de Internet](ec2-controls.md#ec2-172)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181)
+ [[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público](ec2-controls.md#ec2-182)
+ [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1)
+ [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2)
+ [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario](ecs-controls.md#ecs-1)
+ [[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente](ecs-controls.md#ecs-2)
+ [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3)
+ [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4)
+ [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5)
+ [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8)
+ [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9)
+ [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.13] Los servicios de ECS deben estar etiquetados](ecs-controls.md#ecs-13)
+ [[ECS.14] Los clústeres de ECS deben etiquetarse](ecs-controls.md#ecs-14)
+ [[ECS.15] Las definiciones de tareas de ECS deben etiquetarse](ecs-controls.md#ecs-15)
+ [[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas](ecs-controls.md#ecs-16)
+ [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17)
+ [[ECS.18] Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS](ecs-controls.md#ecs-18)
+ [[ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada](ecs-controls.md#ecs-19)
+ [[ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux](ecs-controls.md#ecs-20)
+ [[ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows](ecs-controls.md#ecs-21)
+ [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2)
+ [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3)
+ [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4)
+ [[EFS.5] Los puntos de acceso de EFS deben etiquetarse](efs-controls.md#efs-5)
+ [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6)
+ [[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas](efs-controls.md#efs-7)
+ [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8)
+ [[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público](eks-controls.md#eks-1)
+ [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)
+ [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3)
+ [[EKS.6] Los clústeres de EKS deben etiquetarse](eks-controls.md#eks-6)
+ [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7)
+ [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS](elb-controls.md#elb-3)
+ [[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones](elb-controls.md#elb-7)
+ [[ELB.8] Los balanceadores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config](elb-controls.md#elb-8)
+ [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10)
+ [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12)
+ [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.16] Los AWS WAF balanceadores de carga de aplicaciones deben estar asociados a una ACL web](elb-controls.md#elb-16)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18)
+ [[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados](elb-controls.md#elb-21)
+ [[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados](elb-controls.md#elb-22)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)
+ [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2)
+ [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3)
+ [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4)
+ [[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo](es-controls.md#es-1)
+ [[ES.2] Los dominios de Elasticsearch no deben ser de acceso público](es-controls.md#es-2)
+ [[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría](es-controls.md#es-5)
+ [[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos](es-controls.md#es-6)
+ [[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados](es-controls.md#es-7)
+ [[ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente](es-controls.md#es-8)
+ [[ES.9] Los dominios de Elasticsearch deben estar etiquetados](es-controls.md#es-9)
+ [[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados](eventbridge-controls.md#eventbridge-2)
+ [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] los AWS Glue trabajos deben estar etiquetados](glue-controls.md#glue-1)
+ [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets debe estar etiquetado](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] GuardDuty los detectores deben estar etiquetados](guardduty-controls.md#guardduty-4)
+ [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10)
+ [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)
+ [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)
+ [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)
+ [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)
+ [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)
+ [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)
+ [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse](iam-controls.md#iam-23)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)
+ [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)
+ [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1)
+ [[Kinesis.2] Las transmisiones de Kinesis deben etiquetarse](kinesis-controls.md#kinesis-2)
+ [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [[KMS.3] no AWS KMS keys debe eliminarse involuntariamente](kms-controls.md#kms-3)
+ [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5)
+ [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5)
+ [[Lambda.6] Las funciones de Lambda deben estar etiquetadas](lambda-controls.md#lambda-6)
+ [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4)
+ [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6)
+ [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1)
+ [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas](networkfirewall-controls.md#networkfirewall-8)
+ [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9)
+ [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1)
+ [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [[RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-16)
+ [Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas](rds-controls.md#rds-17)
+ [Las instancias de RDS [RDS.18] deben implementarse en una VPC](rds-controls.md#rds-18)
+ [Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos](rds-controls.md#rds-19)
+ [Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos](rds-controls.md#rds-20)
+ [Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos](rds-controls.md#rds-21)
+ [Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos](rds-controls.md#rds-22)
+ [Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos](rds-controls.md#rds-23)
+ [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24)
+ [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25)
+ [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26)
+ [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27)
+ [[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse](rds-controls.md#rds-28)
+ [[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse](rds-controls.md#rds-29)
+ [[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-30)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-32)
+ [[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-33)
+ [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito](rds-controls.md#rds-38)
+ [[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito](rds-controls.md#rds-39)
+ [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41)
+ [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43)
+ [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44)
+ [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45)
+ [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46)
+ [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47)
+ [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48)
+ [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50)
+ [[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1)
+ [Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito](redshift-controls.md#redshift-2)
+ [Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas](redshift-controls.md#redshift-3)
+ [Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4)
+ [Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales](redshift-controls.md#redshift-6)
+ [Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado](redshift-controls.md#redshift-7)
+ [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8)
+ [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10)
+ [[Redshift.11] Los clústeres de Redshift deben etiquetarse](redshift-controls.md#redshift-11)
+ [[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse](redshift-controls.md#redshift-12)
+ [[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse](redshift-controls.md#redshift-13)
+ [[Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse](redshift-controls.md#redshift-14)
+ [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15)
+ [[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad](redshift-controls.md#redshift-16)
+ [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17)
+ [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7)
+ [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10)
+ [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)
+ [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12)
+ [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13)
+ [[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys](s3-controls.md#s3-17)
+ [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19)
+ [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)
+ [[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22)
+ [[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1)
+ [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática](secretsmanager-controls.md#secretsmanager-1)
+ [[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente](secretsmanager-controls.md#secretsmanager-2)
+ [[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados](secretsmanager-controls.md#secretsmanager-3)
+ [[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días](secretsmanager-controls.md#secretsmanager-4)
+ [[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados](secretsmanager-controls.md#secretsmanager-5)
+ [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.3] Los temas de SNS deben etiquetarse](sns-controls.md#sns-3)
+ [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4)
+ [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2)
+ [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4)
+ [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5)
+ [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1)
+ [[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas](stepfunctions-controls.md#stepfunctions-2)
+ [Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados](transfer-controls.md#transfer-1)
+ [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2)
+ [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5)
+ [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6)
+ [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [[WAF.11] El registro de ACL AWS WAF web debe estar habilitado](waf-controls.md#waf-11)
+ [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Asia-Pacífico (Tailandia)
Los siguientes controles no se admiten en la región Asia-Pacífico (Tailandia).
+ [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)
+ [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2)
+ [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2)
+ [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Athena.2] Los catálogos de datos de Athena deben estar etiquetados](athena-controls.md#athena-2)
+ [[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados](athena-controls.md#athena-3)
+ [[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado](athena-controls.md#athena-4)
+ [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados](backup-controls.md#backup-2)
+ [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4)
+ [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1)
+ [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2)
+ [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3)
+ [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4)
+ [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3)
+ [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4)
+ [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] DataSync las tareas deberían tener el registro activado](datasync-controls.md#datasync-1)
+ [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28)
+ [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34)
+ [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)
+ [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171)
+ [[EC2.172] Los ajustes de Bloqueo de acceso público de las VPC de EC2 deben bloquear el tráfico de las puertas de enlace de Internet](ec2-controls.md#ec2-172)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181)
+ [[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público](ec2-controls.md#ec2-182)
+ [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1)
+ [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2)
+ [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3)
+ [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4)
+ [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5)
+ [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8)
+ [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9)
+ [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas](ecs-controls.md#ecs-16)
+ [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17)
+ [[ECS.18] Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS](ecs-controls.md#ecs-18)
+ [[ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada](ecs-controls.md#ecs-19)
+ [[ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux](ecs-controls.md#ecs-20)
+ [[ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows](ecs-controls.md#ecs-21)
+ [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2)
+ [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3)
+ [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4)
+ [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6)
+ [[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas](efs-controls.md#efs-7)
+ [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8)
+ [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)
+ [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3)
+ [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7)
+ [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8)
+ [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10)
+ [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12)
+ [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)
+ [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2)
+ [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3)
+ [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[ES.9] Los dominios de Elasticsearch deben estar etiquetados](es-controls.md#es-9)
+ [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] los AWS Glue trabajos deben estar etiquetados](glue-controls.md#glue-1)
+ [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10)
+ [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)
+ [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)
+ [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)
+ [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)
+ [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)
+ [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)
+ [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)
+ [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)
+ [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5)
+ [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5)
+ [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4)
+ [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6)
+ [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1)
+ [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9)
+ [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1)
+ [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [Las instancias de RDS [RDS.18] deben implementarse en una VPC](rds-controls.md#rds-18)
+ [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24)
+ [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25)
+ [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26)
+ [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito](rds-controls.md#rds-38)
+ [[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito](rds-controls.md#rds-39)
+ [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41)
+ [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43)
+ [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44)
+ [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45)
+ [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46)
+ [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47)
+ [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48)
+ [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8)
+ [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10)
+ [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15)
+ [[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad](redshift-controls.md#redshift-16)
+ [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17)
+ [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7)
+ [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10)
+ [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)
+ [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12)
+ [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13)
+ [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19)
+ [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)
+ [[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22)
+ [[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1)
+ [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4)
+ [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4)
+ [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5)
+ [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1)
+ [Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados](transfer-controls.md#transfer-1)
+ [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2)
+ [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5)
+ [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6)
+ [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Asia-Pacífico (Tokio)
Los siguientes controles no se admiten en la región Asia-Pacífico (Tokio).
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
## Canadá (centro)
Los siguientes controles no se admiten en la región Canadá (centro).
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
## Oeste de Canadá (Calgary)
Los siguientes controles no se admiten en la región Oeste de Canadá (Calgary).
+ [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)
+ [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2)
+ [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2)
+ [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado](athena-controls.md#athena-4)
+ [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4)
+ [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1)
+ [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3)
+ [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4)
+ [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] DataSync las tareas deberían tener el registro activado](datasync-controls.md#datasync-1)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28)
+ [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34)
+ [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)
+ [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181)
+ [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1)
+ [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2)
+ [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3)
+ [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4)
+ [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5)
+ [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8)
+ [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9)
+ [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas](ecs-controls.md#ecs-16)
+ [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17)
+ [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2)
+ [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3)
+ [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4)
+ [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6)
+ [[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas](efs-controls.md#efs-7)
+ [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8)
+ [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)
+ [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3)
+ [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7)
+ [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10)
+ [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12)
+ [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)
+ [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10)
+ [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)
+ [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)
+ [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)
+ [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)
+ [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)
+ [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)
+ [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)
+ [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)
+ [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5)
+ [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5)
+ [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4)
+ [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6)
+ [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1)
+ [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9)
+ [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [Las instancias de RDS [RDS.18] deben implementarse en una VPC](rds-controls.md#rds-18)
+ [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24)
+ [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25)
+ [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26)
+ [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito](rds-controls.md#rds-38)
+ [[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito](rds-controls.md#rds-39)
+ [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41)
+ [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43)
+ [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44)
+ [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45)
+ [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46)
+ [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8)
+ [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10)
+ [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15)
+ [[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad](redshift-controls.md#redshift-16)
+ [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7)
+ [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10)
+ [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)
+ [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12)
+ [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13)
+ [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19)
+ [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)
+ [[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22)
+ [[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4)
+ [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4)
+ [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2)
+ [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## China (Pekín)
Los siguientes controles no se admiten en la región China (Pekín).
+ [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)
+ [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2)
+ [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4)
+ [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1)
+ [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2)
+ [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3)
+ [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3)
+ [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4)
+ [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos](ec2-controls.md#ec2-20)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28)
+ [[EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse](ec2-controls.md#ec2-36)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)
+ [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180)
+ [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6)
+ [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados](elb-controls.md#elb-21)
+ [[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados](elb-controls.md#elb-22)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2)
+ [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3)
+ [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2)
+ [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[GuardDuty.3] GuardDuty IPSets debe estar etiquetado](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] GuardDuty los detectores deben estar etiquetados](guardduty-controls.md#guardduty-4)
+ [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse](iam-controls.md#iam-23)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)
+ [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)
+ [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1)
+ [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2)
+ [Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-7)
+ [La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS](rds-controls.md#rds-12)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15)
+ [[RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-16)
+ [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24)
+ [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25)
+ [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26)
+ [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27)
+ [[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse](rds-controls.md#rds-28)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37)
+ [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43)
+ [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44)
+ [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45)
+ [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47)
+ [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48)
+ [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50)
+ [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10)
+ [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15)
+ [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22)
+ [[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1)
+ [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1)
+ [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5)
+ [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6)
+ [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5)
+ [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6)
+ [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## China (Ningxia)
Los siguientes controles no se admiten en la región China (Ningxia).
+ [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)
+ [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2)
+ [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4)
+ [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1)
+ [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2)
+ [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3)
+ [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3)
+ [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4)
+ [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos](ec2-controls.md#ec2-20)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28)
+ [[EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse](ec2-controls.md#ec2-36)
+ [[EC2.50] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-50)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3)
+ [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4)
+ [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6)
+ [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados](elb-controls.md#elb-21)
+ [[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados](elb-controls.md#elb-22)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2)
+ [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3)
+ [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2)
+ [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3)
+ [[GuardDuty.3] GuardDuty IPSets debe estar etiquetado](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] GuardDuty los detectores deben estar etiquetados](guardduty-controls.md#guardduty-4)
+ [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse](iam-controls.md#iam-23)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)
+ [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)
+ [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público](lambda-controls.md#lambda-1)
+ [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)
+ [[Lambda.3] Las funciones de Lambda deben estar en una VPC](lambda-controls.md#lambda-3)
+ [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5)
+ [[Lambda.6] Las funciones de Lambda deben estar etiquetadas](lambda-controls.md#lambda-6)
+ [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1)
+ [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24)
+ [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25)
+ [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43)
+ [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44)
+ [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45)
+ [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50)
+ [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10)
+ [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15)
+ [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1)
+ [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5)
+ [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7)
+ [[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5)
+ [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6)
+ [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
## Europa (Fráncfort)
Los siguientes controles no se admiten en la región Europa (Fráncfort).
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
## Europa (Irlanda)
Los siguientes controles no se admiten en la región Europa (Irlanda).
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
## Europa (Londres)
Los siguientes controles no se admiten en la región Europa (Londres).
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
## Europa (Milán)
Los siguientes controles no se admiten en la región Europa (Milán).
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Europa (París)
Los siguientes controles no se admiten en la región Europa (París).
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Europa (España)
Los siguientes controles no se admiten en la región Europa (España).
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente](ec2-controls.md#ec2-1)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34)
+ [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)
+ [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público](lambda-controls.md#lambda-1)
+ [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4)
+ [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9)
+ [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37)
+ [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10)
+ [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1)
+ [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7)
+ [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Europa (Estocolmo)
Los siguientes controles no se admiten en la región Europa (Estocolmo).
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Europa (Zúrich)
Los siguientes controles no se admiten en la región Europa (Zúrich).
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4)
+ [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9)
+ [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7)
+ [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Israel (Tel Aviv)
Los siguientes controles no se admiten en la región Israel (Tel Aviv).
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2)
+ [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4)
+ [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1)
+ [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3)
+ [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4)
+ [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28)
+ [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34)
+ [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181)
+ [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2)
+ [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5)
+ [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2)
+ [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3)
+ [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4)
+ [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8)
+ [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)
+ [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7)
+ [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10)
+ [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)
+ [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)
+ [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)
+ [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)
+ [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)
+ [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)
+ [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)
+ [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)
+ [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5)
+ [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4)
+ [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6)
+ [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1)
+ [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9)
+ [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1)
+ [Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas](rds-controls.md#rds-4)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26)
+ [[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse](rds-controls.md#rds-29)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37)
+ [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8)
+ [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1)
+ [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4)
+ [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## México (centro)
Los siguientes controles no se admiten en la región México (centro).
+ [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)
+ [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2)
+ [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2)
+ [[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado](appsync-controls.md#appsync-4)
+ [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado](athena-controls.md#athena-4)
+ [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados](backup-controls.md#backup-2)
+ [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4)
+ [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1)
+ [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2)
+ [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3)
+ [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4)
+ [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3)
+ [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4)
+ [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] DataSync las tareas deberían tener el registro activado](datasync-controls.md#datasync-1)
+ [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28)
+ [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34)
+ [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)
+ [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171)
+ [[EC2.172] Los ajustes de Bloqueo de acceso público de las VPC de EC2 deben bloquear el tráfico de las puertas de enlace de Internet](ec2-controls.md#ec2-172)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181)
+ [[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público](ec2-controls.md#ec2-182)
+ [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1)
+ [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2)
+ [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3)
+ [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4)
+ [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5)
+ [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8)
+ [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9)
+ [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas](ecs-controls.md#ecs-16)
+ [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17)
+ [[ECS.18] Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS](ecs-controls.md#ecs-18)
+ [[ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada](ecs-controls.md#ecs-19)
+ [[ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux](ecs-controls.md#ecs-20)
+ [[ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows](ecs-controls.md#ecs-21)
+ [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2)
+ [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3)
+ [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4)
+ [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6)
+ [[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas](efs-controls.md#efs-7)
+ [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8)
+ [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)
+ [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3)
+ [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7)
+ [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8)
+ [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10)
+ [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12)
+ [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)
+ [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2)
+ [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3)
+ [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4)
+ [[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[ES.9] Los dominios de Elasticsearch deben estar etiquetados](es-controls.md#es-9)
+ [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] los AWS Glue trabajos deben estar etiquetados](glue-controls.md#glue-1)
+ [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10)
+ [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)
+ [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)
+ [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)
+ [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)
+ [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)
+ [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)
+ [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)
+ [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)
+ [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5)
+ [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5)
+ [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4)
+ [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6)
+ [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1)
+ [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9)
+ [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1)
+ [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [Las instancias de RDS [RDS.18] deben implementarse en una VPC](rds-controls.md#rds-18)
+ [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24)
+ [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25)
+ [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26)
+ [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito](rds-controls.md#rds-38)
+ [[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito](rds-controls.md#rds-39)
+ [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41)
+ [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43)
+ [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44)
+ [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45)
+ [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46)
+ [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47)
+ [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48)
+ [[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1)
+ [Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito](redshift-controls.md#redshift-2)
+ [Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas](redshift-controls.md#redshift-3)
+ [Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4)
+ [Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales](redshift-controls.md#redshift-6)
+ [Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado](redshift-controls.md#redshift-7)
+ [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8)
+ [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10)
+ [[Redshift.11] Los clústeres de Redshift deben etiquetarse](redshift-controls.md#redshift-11)
+ [[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse](redshift-controls.md#redshift-13)
+ [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15)
+ [[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad](redshift-controls.md#redshift-16)
+ [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17)
+ [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7)
+ [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10)
+ [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)
+ [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12)
+ [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13)
+ [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19)
+ [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)
+ [[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22)
+ [[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1)
+ [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4)
+ [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4)
+ [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5)
+ [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2)
+ [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5)
+ [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6)
+ [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Middle East (Bahrain)
Los siguientes controles no se admiten en la región Medio Oriente (Baréin).
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos](ec2-controls.md#ec2-20)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41)
+ [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43)
+ [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44)
+ [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45)
+ [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## Medio Oriente (EAU)
Los siguientes controles no se admiten en la región Medio Oriente (EAU).
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4)
+ [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)
+ [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9)
+ [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1)
+ [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## América del Sur (São Paulo)
Los siguientes controles no se admiten en la región América del Sur (São Paulo).
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
## AWS GovCloud (Este de EE. UU.)
Los siguientes controles no se admiten en la región AWS GovCloud (EE. UU. Este).
+ [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2)
+ [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2)
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2)
+ [[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado](appsync-controls.md#appsync-4)
+ [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9)
+ [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4)
+ [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1)
+ [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2)
+ [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3)
+ [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2)
+ [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3)
+ [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4)
+ [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2)
+ [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse](ec2-controls.md#ec2-47)
+ [[EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-52)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1)
+ [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2)
+ [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3)
+ [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4)
+ [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5)
+ [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8)
+ [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9)
+ [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12)
+ [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3)
+ [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4)
+ [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)
+ [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8)
+ [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10)
+ [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12)
+ [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados](elb-controls.md#elb-21)
+ [[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados](elb-controls.md#elb-22)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2)
+ [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3)
+ [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3)
+ [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)
+ [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1)
+ [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5)
+ [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6)
+ [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1)
+ [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1)
+ [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15)
+ [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24)
+ [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25)
+ [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43)
+ [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45)
+ [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47)
+ [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48)
+ [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50)
+ [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8)
+ [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10)
+ [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10)
+ [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)
+ [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12)
+ [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13)
+ [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1)
+ [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4)
+ [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5)
+ [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6)
+ [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1)
+ [[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5)
+ [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6)
+ [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2)
## AWS GovCloud (EEUU-Oeste)
Los siguientes controles no se admiten en la región AWS GovCloud (EE. UU. Oeste).
+ [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2)
+ [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2)
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2)
+ [[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado](appsync-controls.md#appsync-4)
+ [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6)
+ [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9)
+ [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4)
+ [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1)
+ [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2)
+ [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3)
+ [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17)
+ [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar](cognito-controls.md#cognito-1)
+ [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3)
+ [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4)
+ [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse](ec2-controls.md#ec2-22)
+ [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28)
+ [[EC2.38] Las instancias de EC2 deben etiquetarse](ec2-controls.md#ec2-38)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173)
+ [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1)
+ [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2)
+ [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3)
+ [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4)
+ [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5)
+ [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8)
+ [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9)
+ [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12)
+ [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3)
+ [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4)
+ [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)
+ [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8)
+ [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10)
+ [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12)
+ [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados](elb-controls.md#elb-21)
+ [[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados](elb-controls.md#elb-22)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2)
+ [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3)
+ [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)
+ [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1)
+ [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5)
+ [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6)
+ [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1)
+ [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2)
+ [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)
+ [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1)
+ [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15)
+ [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24)
+ [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25)
+ [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27)
+ [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43)
+ [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45)
+ [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47)
+ [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48)
+ [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50)
+ [Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado](redshift-controls.md#redshift-7)
+ [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8)
+ [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10)
+ [[Redshift.11] Los clústeres de Redshift deben etiquetarse](redshift-controls.md#redshift-11)
+ [[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse](redshift-controls.md#redshift-13)
+ [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17)
+ [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10)
+ [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)
+ [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12)
+ [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13)
+ [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)
+ [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)
+ [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3)
+ [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4)
+ [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3)
+ [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4)
+ [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5)
+ [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1)
+ [[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5)
+ [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6)
+ [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12)