Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Revisión 5 de NIST SP 800-53 en el CSPM de Security Hub
La Publicación Especial 800-53 Revisión 5 del NIST (NIST SP 800-53 Rev. 5) es un marco de ciberseguridad y cumplimiento normativo desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento proporciona un catálogo de requisitos de seguridad y privacidad para proteger la confidencialidad, integridad y disponibilidad de los sistemas de información y los recursos críticos. Las agencias y contratistas del gobierno federal de los Estados Unidos deben cumplir estos requisitos para proteger sus sistemas y organizaciones. Las organizaciones privadas también pueden usar estos requisitos de manera voluntaria como marco orientador para reducir el riesgo de ciberseguridad. Para obtener más información sobre el marco y sus requisitos, consulte [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) en el *Centro de Recursos de Seguridad Informática de NIST*.
AWS Security Hub CSPM proporciona controles de seguridad que admiten un subconjunto de los requisitos del NIST SP 800-53, revisión 5. Los controles realizan comprobaciones de seguridad automatizadas para determinados recursos. Servicios de AWS Para habilitar y administrar estos controles, puede habilitar el marco NIST SP 800-53 Revisión 5 como un estándar en el CSPM de Security Hub. Tenga en cuenta que los controles no admiten los requisitos de NIST SP 800-53 Revisión 5 que requieren comprobaciones manuales.
A diferencia de otros marcos, NIST SP 800-53 Revisión 5 no prescribe cómo se deben evaluar sus requisitos. En su lugar, el marco proporciona directrices. En el CSPM de Security Hub, el estándar NIST SP 800-53 Revisión 5 y sus controles representan la interpretación que hace el servicio de estas directrices.
**Topics**
+ [Configuración del registro de recursos para el estándar](#standards-reference-nist-800-53-recording)
+ [Cómo determinar qué controles se aplican al estándar](#standards-reference-nist-800-53-controls)
## Configuración del registro de recursos para los controles que se aplican al estándar
Para optimizar la cobertura y la precisión de los hallazgos, es importante habilitar y configurar el registro de recursos AWS Config antes de habilitar el estándar NIST SP 800-53 revisión 5 en AWS Security Hub CSPM. Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. Esto se aplica principalmente a los controles que tienen un tipo de programación *activado por cambios*. Sin embargo, algunos controles con un tipo de programación *periódica* también requieren el registro de recursos. Si el registro de recursos no está habilitado o no está configurado correctamente, es posible que el CSPM de Security Hub no pueda evaluar los recursos correspondientes ni generar resultados precisos para los controles que se aplican al estándar.
Para obtener información sobre cómo Security Hub CSPM utiliza el registro de recursos AWS Config, consulte. [Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md) Para obtener información sobre cómo configurar el registro de recursos en AWS Config, consulte [Trabajar con el grabador de configuración](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) en la Guía *AWS Config para desarrolladores*.
La siguiente tabla especifica los tipos de recursos que se deben registrar para los controles que se aplican al estándar NIST SP 800-53 Revisión 5 en el CSPM de Security Hub.
| Servicio de AWS | Tipos de recurso |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Servicio Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker AI | `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## Cómo determinar qué controles se aplican al estándar
La siguiente lista especifica los controles que admiten los requisitos del NIST SP 800-53 revisión 5 y se aplican al estándar NIST SP 800-53 revisión 5 en Security Hub AWS CSPM. Para ver los detalles sobre los requisitos específicos que admite un control, seleccione el control. Luego, consulte el campo **Requisitos relacionados** en los detalles del control. Este campo especifica cada requisito de NIST que admite el control. Si el campo no especifica un requisito concreto de NIST, el control no admite ese requisito.
+ [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)
+ [[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5)
+ [[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB](autoscaling-controls.md#autoscaling-1)
+ [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas](autoscaling-controls.md#autoscaling-5)
+ [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1)
+ [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)
+ [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1)
+ [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)
+ [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas](cloudwatch-controls.md#cloudwatch-15)
+ [[CloudWatch.16] Los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico](cloudwatch-controls.md#cloudwatch-16)
+ [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4)
+ [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)
+ [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1)
+ [[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas](dms-controls.md#dms-1)
+ [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)
+ [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)
+ [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)
+ [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)
+ [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)
+ [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)
+ [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)
+ [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1)
+ [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)
+ [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)
+ [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda](dynamodb-controls.md#dynamodb-1)
+ [[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time](dynamodb-controls.md#dynamodb-2)
+ [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente](ec2-controls.md#ec2-1)
+ [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2)
+ [[EC2.3] Los volúmenes de Amazon EBS asociados deben cifrarse en reposo](ec2-controls.md#ec2-3)
+ [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4)
+ [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6)
+ [[EC2.7] El cifrado predeterminado de EBS debe estar activado](ec2-controls.md#ec2-7)
+ [[EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2](ec2-controls.md#ec2-8)
+ [[EC2.9] Las instancias de Amazon EC2 no deben tener una dirección pública IPv4](ec2-controls.md#ec2-9)
+ [[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.12] Debe quitarse la Amazon EIPs EC2 no utilizada](ec2-controls.md#ec2-12)
+ [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13)
+ [[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas](ec2-controls.md#ec2-15)
+ [[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas](ec2-controls.md#ec2-16)
+ [[EC2.17] Las instancias de Amazon EC2 no deben usar múltiples ENIs](ec2-controls.md#ec2-17)
+ [[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados](ec2-controls.md#ec2-18)
+ [[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo](ec2-controls.md#ec2-19)
+ [[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos](ec2-controls.md#ec2-20)
+ [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)
+ [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24)
+ [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)
+ [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1)
+ [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2)
+ [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3)
+ [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario](ecs-controls.md#ecs-1)
+ [[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente](ecs-controls.md#ecs-2)
+ [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3)
+ [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4)
+ [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5)
+ [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8)
+ [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9)
+ [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17)
+ [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2)
+ [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3)
+ [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4)
+ [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6)
+ [[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público](eks-controls.md#eks-1)
+ [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)
+ [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3)
+ [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8)
+ [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS](elb-controls.md#elb-1)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS](elb-controls.md#elb-3)
+ [[ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos](elb-controls.md#elb-4)
+ [[ELB.5] El registro de las aplicaciones y de los equilibradores de carga clásicos debe estar habilitado](elb-controls.md#elb-5)
+ [[ELB.6] La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada](elb-controls.md#elb-6)
+ [[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones](elb-controls.md#elb-7)
+ [[ELB.8] Los balanceadores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config](elb-controls.md#elb-8)
+ [[ELB.9] Los equilibradores de carga clásicos deberían tener habilitado el equilibrio de carga entre zonas](elb-controls.md#elb-9)
+ [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10)
+ [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12)
+ [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13)
+ [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)
+ [[ELB.16] Los AWS WAF balanceadores de carga de aplicaciones deben estar asociados a una ACL web](elb-controls.md#elb-16)
+ [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17)
+ [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)
+ [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2)
+ [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3)
+ [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4)
+ [[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo](es-controls.md#es-1)
+ [[ES.2] Los dominios de Elasticsearch no deben ser de acceso público](es-controls.md#es-2)
+ [[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3)
+ [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4)
+ [[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría](es-controls.md#es-5)
+ [[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos](es-controls.md#es-6)
+ [[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados](es-controls.md#es-7)
+ [[ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente](es-controls.md#es-8)
+ [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4)
+ [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2)
+ [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)
+ [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)
+ [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)
+ [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)
+ [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1)
+ [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1)
+ [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2)
+ [[KMS.3] no AWS KMS keys debe eliminarse involuntariamente](kms-controls.md#kms-3)
+ [La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4)
+ [[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público](lambda-controls.md#lambda-1)
+ [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)
+ [[Lambda.3] Las funciones de Lambda deben estar en una VPC](lambda-controls.md#lambda-3)
+ [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5)
+ [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)
+ [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2)
+ [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1)
+ [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2)
+ [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)
+ [[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias](mq-controls.md#mq-3)
+ [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6)
+ [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)
+ [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4)
+ [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5)
+ [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6)
+ [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7)
+ [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8)
+ [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10)
+ [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1)
+ [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2)
+ [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3)
+ [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4)
+ [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)
+ [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6)
+ [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8)
+ [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)
+ [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11)
+ [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1)
+ [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1)
+ [[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2)
+ [[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo](rds-controls.md#rds-3)
+ [Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas](rds-controls.md#rds-4)
+ [Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad](rds-controls.md#rds-5)
+ [Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]](rds-controls.md#rds-6)
+ [Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-7)
+ [Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-8)
+ [[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch](rds-controls.md#rds-9)
+ [La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS](rds-controls.md#rds-10)
+ [Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas](rds-controls.md#rds-11)
+ [La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS](rds-controls.md#rds-12)
+ [Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas](rds-controls.md#rds-13)
+ [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14)
+ [Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15)
+ [[RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-16)
+ [Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas](rds-controls.md#rds-17)
+ [Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos](rds-controls.md#rds-19)
+ [Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos](rds-controls.md#rds-20)
+ [Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos](rds-controls.md#rds-21)
+ [Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos](rds-controls.md#rds-22)
+ [Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos](rds-controls.md#rds-23)
+ [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24)
+ [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25)
+ [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26)
+ [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27)
+ [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)
+ [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)
+ [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45)
+ [[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1)
+ [Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito](redshift-controls.md#redshift-2)
+ [Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas](redshift-controls.md#redshift-3)
+ [Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4)
+ [Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales](redshift-controls.md#redshift-6)
+ [Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado](redshift-controls.md#redshift-7)
+ [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8)
+ [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10)
+ [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)
+ [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1)
+ [[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura](s3-controls.md#s3-2)
+ [[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura](s3-controls.md#s3-3)
+ [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)
+ [[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS](s3-controls.md#s3-6)
+ [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7)
+ [[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8)
+ [[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor](s3-controls.md#s3-9)
+ [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10)
+ [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)
+ [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12)
+ [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13)
+ [[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones](s3-controls.md#s3-14)
+ [[S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos](s3-controls.md#s3-15)
+ [[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys](s3-controls.md#s3-17)
+ [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19)
+ [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)
+ [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4)
+ [[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática](secretsmanager-controls.md#secretsmanager-1)
+ [[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente](secretsmanager-controls.md#secretsmanager-2)
+ [[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados](secretsmanager-controls.md#secretsmanager-3)
+ [[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días](secretsmanager-controls.md#secretsmanager-4)
+ [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS](sns-controls.md#sns-1)
+ [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1)
+ [[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2)
+ [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4)
+ [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2)
+ [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3)
+ [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)
+ [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2)
+ [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3)
+ [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4)
+ [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6)
+ [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7)
+ [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10)
+ [[WAF.11] El registro de ACL AWS WAF web debe estar habilitado](waf-controls.md#waf-11)
+ [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12)